偷窃者阿基拉

Akira 是一种信息窃取恶意软件，可在专用网站上获取，以恶意软件即服务 (MaaS) 的形式运行，名称为“Akira UnDetector”。该网络平台提供了一个用户友好的界面，用于生成窃取程序二进制文件的新实例，并提供有关如何有效使用恶意软件的详细说明。它利用 Telegram 频道进行更新以及命令和控制功能。

这种多功能恶意软件擅长从网络浏览器中提取数据，包括保存的登录凭据和支付卡信息。此外，它还会进行彻底的系统范围扫描，以收集各种数据点，例如用户名、系统标识符、硬件规格、已安装的软件列表和网络配置。被盗信息随后被上传到威胁行为者在“GoFile”在线存储管理服务上的帐户及其 Discord 即时消息帐户。

Akira Stealer 中观察到的侵入能力

Akira Stealer 采用复杂的多层感染过程来混淆其代码并逃避检测。威胁行为者利用各种平台进行操作，包括 Telegram、命令和控制 (C2) 服务器和 GitHub。此外，威胁行为者还大胆声称他们的恶意软件“完全无法检测”（FUD）。他们维护着一个名为“Akira”的 Telegram 频道，拥有大约 358 名订阅者，并通过恶意软件即服务域提供服务。

研究人员对名为“3989X_NORD_VPN_PREMIUM_HITS.txt.cmd”的 Akira Stealer 文件进行了分析。该文件是一个包含混淆代码的 CMD 脚本。执行后，它会在当前工作目录中存放一个hidden.bat批处理文件，该文件也成功地逃避了检测。此批处理文件包含一个混淆的 PowerShell 脚本，该脚本集成了 tmp.vbs 文件以使用 csscript.exe 进程执行。

在数据盗窃方面，恶意软件会以受感染电脑的名称建立一个文件夹来存储窃取的信息。随后，它启动从各种网络浏览器中提取数据，包括 Microsoft Edge、Google Chrome、Opera、Mozilla Firefox 和其他 14 种浏览器。

此外，窃取者擅长瞄准财务数据，包括保存的信用卡详细信息和登录凭据。它还收集书签数据、钱包扩展信息、捕获屏幕截图等等。

信息窃取恶意软件可能会给受害者带来严重后果

Akira 是一种在恶意软件即服务 (MaaS) 模型上运行的恶意信息窃取恶意软件，这是一种特别危险的恶意软件形式，能够对组织和个人用户造成重大损害。它通过专用门户网站积极传播，并采用 Telegram 渠道进行分发，同时从受感染的系统中谨慎地窃取大量敏感数据，逃避检测。

威胁行为者不断调整他们的技术以保持长期的不可检测性，使他们的恶意创作具有多种用途，并为他们提供对受感染系统的有效控制。通过 Telegram 频道传达的定期更新有助于进一步增强网络犯罪分子实施其恶意议程的能力。

防范 Akira Stealer 的最有效方法是在处理可疑链接和电子邮件附件时保持警惕。用户必须认识到，即使看似值得信赖的来源也可能成为感染和数据盗窃的渠道。强化系统、网络和应用程序安全可以大大降低感染风险。同样重要的是利用最新的反恶意软件软件与自适应组织安全策略相结合，以确保强大的保护。