Acreed Stealer
Acreed 是一款现代信息窃取程序,已迅速跻身传播范围最广的信息窃取程序之列。由于它专门攻击凭证、浏览器文件、即时通讯应用和加密货币钱包,一次成功感染即可导致凭证盗窃、加密货币转账劫持、账户接管,并在受害设备上长期驻留。因此,保护终端和用户行为至关重要:敏感数据一旦离开设备,通常就无法完全恢复。
目录
Acreed 追逐高价值数字资产
Acreed 专注于具有直接货币价值或能够接管帐户的数据:
- 保存的密码、cookies 和浏览器(Brave、Chrome、Edge)的自动填充条目,
- 基于浏览器和系统的加密货币钱包(完整客户端和扩展钱包),
- 信用卡数据和消息应用程序数据可能被滥用于欺诈或社会工程。
Acreed 积极搜寻各种钱包软件和浏览器扩展程序,包括但不限于 ArgentX、币安、Coinbase、Crypto.com、Kasware、Martian、MetaMask、OKX、Phantom、Rabby、ReadyWallet、Ronin、Sui、ToonKeeper、TronLink 和 Trust。通过枚举已安装的应用程序和浏览器扩展程序文件夹,它可以最大限度地提高找到密钥、种子短语、私有 JSON 文件或其他钱包资料的几率。
恶意软件如何运作
Acreed 通常通过加载器(ShadowLoader)传递,并遵循多阶段注入和收集模型:
- ShadowLoader 释放两个用合法 WebView2 DLL 包装的 PE 文件——这个合法包装器可帮助加载程序逃避简单的检测和签名检查。
- 一旦 Acreed 运行,它就会枚举浏览器“用户数据”目录(书签、历史记录、cookie、缓存、扩展、自动填充和已保存的凭据)并扫描钱包文件和扩展数据。
- 它收集消息应用程序数据和其他个人文件,以便在后续攻击中被滥用。
- 至关重要的是,Acreed 包含交易劫持功能:它可以替换网页上显示的钱包地址、更改二维码、替换剪贴板内容以及捕获输入/提交的钱包地址——所有这些都是为了将资金转移到攻击者控制的钱包。
不寻常的指挥与控制 (C2) 技术
Acreed 使用非典型的公共源进行配置和 C2,这有助于它将合法流量与恶意信号混合在一起:
- 一些样本从部署在BNB智能链测试网上的智能合约中检索C2信息。
- 其他样本使用 Steam 等平台上的公开帖子来编码控制数据。
这些技术使得 C2 发现更具挑战性,并使仅关注经典 C2 域的检测规则变得复杂。
传播 Acreed 的攻击者采用了多种感染途径:
盗版软件和破解的安装程序、恶意广告、技术支持诈骗、电子邮件附件和恶意链接、第三方更新程序和下载程序、P2P 网络、受感染的 USB 设备以及未打补丁软件的漏洞利用。这种广泛性意味着用户可能通过直接网络钓鱼和日常风险下载暴露于风险之中。
为什么 Creed 是危险的
Acreed 将针对加密钱包的精准攻击与广泛的浏览器和消息数据窃取相结合,并使用隐秘的多级加载器和非常规的 C2 通道来增加检测难度。它能够劫持交易(网页/二维码/剪贴板操作),窃取的数据几乎会立即转化为经济损失,因此预防和快速遏制至关重要。加强端点控制,减少存储的机密信息,并将任何已确认的感染视为高度紧急事件。
