Acreed Stealer
Acreed 是一款現代資訊竊取程序,已迅速躋身傳播範圍最廣的資訊竊取程序之列。由於它專門攻擊憑證、瀏覽器文件、即時通訊應用和加密貨幣錢包,一次成功感染即可導致憑證盜竊、加密貨幣轉帳劫持、帳戶接管,並在受害設備上長期駐留。因此,保護終端和用戶行為至關重要:敏感資料一旦離開設備,通常就無法完全恢復。
目錄
Acreed 追逐高價值數位資產
Acreed 專注於具有直接貨幣價值或能夠接管帳戶的資料:
- 儲存的密碼、cookies 和瀏覽器(Brave、Chrome、Edge)的自動填入項目,
- 基於瀏覽器和系統的加密貨幣錢包(完整客戶端和擴充錢包),
- 信用卡資料和訊息應用程式資料可能被濫用於詐欺或社會工程。
Acreed 積極搜尋各種錢包軟體和瀏覽器擴充程序,包括但不限於 ArgentX、幣安、Coinbase、Crypto.com、Kasware、Martian、MetaMask、OKX、Phantom、Rabby、ReadyWallet、Ronin、Sui、ToonKeeper、TronLink 和 Trust。透過列舉已安裝的應用程式和瀏覽器擴充功能資料夾,它可以最大限度地提高找到金鑰、種子短語、私人 JSON 檔案或其他錢包資料的幾率。
惡意軟體如何運作
Acreed 通常透過載入器(ShadowLoader)傳遞,並遵循多階段注入和收集模型:
- ShadowLoader 釋放兩個用合法 WebView2 DLL 包裝的 PE 檔案-這個合法包裝器可協助載入程式逃避簡單的偵測和簽章檢查。
- 一旦 Acreed 運行,它就會列舉瀏覽器「用戶資料」目錄(書籤、歷史記錄、cookie、快取、擴充功能、自動填充和已儲存的憑證)並掃描錢包檔案和擴充資料。
- 它收集訊息應用程式資料和其他個人文件,以便在後續攻擊中被濫用。
- 至關重要的是,Acreed 包含交易劫持功能:它可以替換網頁上顯示的錢包地址、更改二維碼、替換剪貼板內容以及捕獲輸入/提交的錢包地址——所有這些都是為了將資金轉移到攻擊者控制的錢包。
不尋常的指揮與控制 (C2) 技術
Acreed 使用非典型的公共來源進行設定和 C2,這有助於它將合法流量與惡意訊號混合在一起:
- 有些樣本從部署在BNB智慧鏈測試網路上的智慧合約中檢索C2資訊。
- 其他樣本使用 Steam 等平台上的公開貼文來編碼控制資料。
這些技術使得 C2 發現更具挑戰性,並使僅關注經典 C2 域的偵測規則變得複雜。
傳播 Acreed 的攻擊者採取了多種感染途徑:
盜版軟體和破解的安裝程式、惡意廣告、技術支援詐騙、電子郵件附件和惡意連結、第三方更新程式和下載程式、P2P 網路、受感染的 USB 裝置以及未打補丁軟體的漏洞利用。這種廣泛性意味著用戶可能透過直接網路釣魚和日常風險下載暴露於風險之中。
為什麼 Creed 是危險的
Acreed 將針對加密錢包的精準攻擊與廣泛的瀏覽器和訊息資料竊取相結合,並使用隱密的多層載入器和非常規的 C2 通道來增加偵測難度。它能夠劫持交易(網頁/二維碼/剪貼簿操作),竊取的資料幾乎會立即轉化為經濟損失,因此預防和快速遏制至關重要。加強端點控制,減少儲存的機密訊息,並將任何已確認的感染視為高度緊急事件。
