Kẻ trộm Akira
Akira là phần mềm độc hại đánh cắp thông tin có sẵn trên một trang web chuyên dụng, hoạt động dưới dạng Phần mềm độc hại dưới dạng dịch vụ (MaaS) dưới tên 'Akira Un detector'. Nền tảng web này cung cấp giao diện thân thiện với người dùng để tạo các phiên bản mới của tệp nhị phân đánh cắp, hoàn chỉnh với các hướng dẫn chi tiết về cách sử dụng phần mềm độc hại một cách hiệu quả. Nó sử dụng kênh Telegram để cập nhật và khả năng ra lệnh và kiểm soát.
Phần mềm độc hại đa năng này rất thành thạo trong việc trích xuất dữ liệu từ trình duyệt web, bao gồm thông tin đăng nhập đã lưu và thông tin thẻ thanh toán. Ngoài ra, nó còn tiến hành quét toàn bộ hệ thống để thu thập nhiều điểm dữ liệu khác nhau, chẳng hạn như tên người dùng, số nhận dạng hệ thống, thông số phần cứng, danh sách phần mềm đã cài đặt và cấu hình mạng. Thông tin bị đánh cắp sau đó sẽ được tải lên tài khoản của kẻ đe dọa trên dịch vụ quản lý lưu trữ trực tuyến 'GoFile' và tài khoản nhắn tin tức thời Discord của họ.
Khả năng xâm nhập được quan sát thấy ở Akira Stealer
Akira Stealer sử dụng quy trình lây nhiễm phức tạp với nhiều lớp để làm xáo trộn mã và tránh bị phát hiện. Kẻ đe dọa tận dụng nhiều nền tảng khác nhau cho hoạt động của chúng, bao gồm Telegram, máy chủ Chỉ huy và Kiểm soát (C2) và GitHub. Hơn nữa, kẻ đe dọa còn mạnh dạn tuyên bố rằng phần mềm độc hại của họ là 'Hoàn toàn không thể phát hiện được' (FUD). Họ duy trì một kênh Telegram có tên 'Akira' với khoảng 358 người đăng ký và cung cấp dịch vụ của họ thông qua miền Phần mềm độc hại dưới dạng dịch vụ.
Các nhà nghiên cứu đã tiến hành phân tích tệp Akira Stealer có tên '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd.' Tệp này là tập lệnh CMD chứa mã bị xáo trộn. Sau khi thực thi, nó đã gửi một tệp bó Hidden.bat vào thư mục làm việc hiện tại, tệp này cũng tìm cách tránh bị phát hiện. Tệp bó này chứa tập lệnh PowerShell bị xáo trộn đã tích hợp tệp tmp.vbs để thực thi bằng quy trình csscript.exe.
Về hành vi đánh cắp dữ liệu, phần mềm độc hại sẽ thiết lập một thư mục có tên của PC bị xâm nhập để lưu trữ thông tin bị đánh cắp. Sau đó, nó bắt đầu trích xuất dữ liệu từ nhiều trình duyệt web khác nhau, bao gồm Microsoft Edge, Google Chrome, Opera, Mozilla Firefox và 14 trình duyệt khác.
Ngoài ra, kẻ đánh cắp còn thành thạo trong việc nhắm mục tiêu dữ liệu tài chính, bao gồm thông tin thẻ tín dụng đã lưu và thông tin đăng nhập. Nó cũng thu thập dữ liệu dấu trang, thông tin tiện ích mở rộng ví, chụp ảnh màn hình và hơn thế nữa.
Phần mềm độc hại đánh cắp thông tin có thể gây hậu quả nghiêm trọng cho nạn nhân
Akira là phần mềm độc hại đánh cắp thông tin độc hại hoạt động trên mô hình Malware-as-a-Service (MaaS), một dạng phần mềm độc hại đặc biệt nguy hiểm có khả năng gây tổn hại đáng kể cho cả tổ chức và người dùng cá nhân. Nó được lan truyền tích cực thông qua một cổng web chuyên dụng và sử dụng kênh Telegram để phân phối, đồng thời lấy cắp một cách kín đáo vô số dữ liệu nhạy cảm từ các hệ thống bị xâm nhập, tránh bị phát hiện.
Các tác nhân đe dọa liên tục điều chỉnh các kỹ thuật của chúng để duy trì khả năng không bị phát hiện trong thời gian dài, khiến việc tạo ra những kẻ ác độc của chúng trở nên linh hoạt và cung cấp cho chúng khả năng kiểm soát hiệu quả đối với các hệ thống bị lây nhiễm. Các cập nhật thường xuyên được truyền tải qua kênh Telegram nhằm tiếp thêm sức mạnh cho tội phạm mạng trong việc theo đuổi các chương trình độc hại của chúng.
Cách tiếp cận hiệu quả nhất để bảo vệ khỏi Kẻ đánh cắp Akira là phải đề cao cảnh giác khi xử lý các liên kết và tệp đính kèm email đáng ngờ. Người dùng bắt buộc phải nhận ra rằng ngay cả những nguồn có vẻ đáng tin cậy cũng có thể đóng vai trò là đường dẫn lây nhiễm và đánh cắp dữ liệu. Việc tăng cường bảo mật hệ thống, mạng và ứng dụng có thể giảm thiểu đáng kể nguy cơ lây nhiễm. Điều quan trọng không kém là việc sử dụng phần mềm chống phần mềm độc hại cập nhật kết hợp với các chính sách bảo mật tổ chức thích ứng để đảm bảo khả năng bảo vệ mạnh mẽ.
