Acreed Stealer

Az Acreed egy modern információlopó program, amely gyorsan felért a legelterjedtebb adatlopók sorába. Mivel kifejezetten hitelesítő adatokat, böngészőösszetevőket, üzenetküldő alkalmazásokat és kriptovaluta-tárcákat céloz meg, egyetlen sikeres fertőzés is hitelesítő adatok ellopásához, eltérített kriptovaluta-átutalások, fiókok átvételéhez és az áldozat gépén való hosszú távú adatmegőrzéshez vezethet. A végpontok és a felhasználói viselkedés védelme ezért kritikus fontosságú: miután az érzékeny adatok elhagyják az eszközt, gyakran lehetetlen teljesen helyreállítani őket.

Az Acreed nagy értékű digitális eszközökre pályázik

Az Acreed olyan adatokra összpontosít, amelyek azonnali pénzügyi értékkel bírnak, vagy lehetővé teszik a fiókok átvételét:

• mentett jelszavak, sütik és automatikus kitöltési bejegyzések böngészőkből (Brave, Chrome, Edge),
• böngészőalapú és rendszeralapú kriptovaluta-tárcák (teljes kliensű és bővítményalapú tárcák egyaránt),
• hitelkártya-adatok és üzenetküldő alkalmazásadatok, amelyekkel csalás vagy társadalmi manipuláció céljából visszaélhetnek.

Az Acreed aktívan keres számos pénztárca szoftvert és böngészőbővítményt, beleértve (de nem kizárólagosan) az ArgentX-et, a Binance-t, a Coinbase-t, a Crypto.com-ot, a Kasware-t, a Martian-t, a MetaMask-ot, az OKX-et, a Phantom-ot, a Rabby-t, a ReadyWallet-et, a Ronin-t, a Sui-t, a ToonKeeper-t, a TronLink-et és a Trust-ot. A telepített alkalmazások és a böngészőbővítmények mappáinak felsorolásával maximalizálja a kulcsok, seed-mondatok, privát JSON-fájlok vagy más pénztárca-anyagok megtalálásának esélyét.

Hogyan működik a kártevő

Az Acreed-et jellemzően egy töltőn (ShadowLoader) keresztül szállítják, és egy többlépcsős befecskendezési és gyűjtési modellt követ:

• A ShadowLoader két PE fájlt dob ki, amelyek egy legitim WebView2 DLL-lel vannak ellátva – ez a legitim burkoló segít a betöltőnek megkerülni az egyszerű észlelési és aláírás-ellenőrzéseket.
• Miután az Acreed fut, felsorolja a böngésző „felhasználói adatok” könyvtárait (könyvjelzők, előzmények, sütik, gyorsítótár, bővítmények, automatikus kitöltés és mentett hitelesítő adatok), és átvizsgálja a pénztárcafájlokat és a bővítményadatokat.
• Üzenetküldő alkalmazásadatokat és más személyes fájlokat gyűjt, amelyekkel későbbi támadások során visszaélhetnek.
• Döntő fontosságú, hogy az Acreed tranzakció-eltérítési képességekkel rendelkezik: képes lecserélni a weboldalakon megjelenített tárcacímeket, módosítani a QR-kódokat, helyettesíteni a vágólap tartalmát, és rögzíteni a beírt/beküldött tárcacímeket – mindezt azért, hogy a pénzeszközöket a támadók által ellenőrzött tárcákba irányítsa.

Szokatlan parancsnoki és irányítási (C2) technikák

Az Acreed atipikus nyilvános forrásokat használ a konfigurációhoz és a C2-höz, ami segít a legitim forgalom és a rosszindulatú jelek összekeverésében:

• Néhány példa C2 információkat kér le egy, a BNB Smart Chain Testnet-en telepített intelligens szerződésből.
• Más minták nyilvános bejegyzéseket használnak olyan platformokon, mint a Steam, a vezérlőadatok kódolásához.
  Ezek a technikák megnehezítik a C2 felderítését, és bonyolítják azokat az észlelési szabályokat, amelyek csak a klasszikus C2 doménekre összpontosítanak.

Az Acreedet terjesztő támadók a fertőzési útvonalak széles eszköztárát használják:
kalózszoftverek és feltört telepítők, rosszindulatú hirdetések, technikai támogatási csalások, e-mail mellékletek és rosszindulatú linkek, harmadik féltől származó frissítők és letöltők, P2P hálózatok, fertőzött USB-eszközök és a nem javított szoftverek kihasználása. Ez a kiterjedtség azt jelenti, hogy a felhasználók mind közvetlen adathalászat, mind a mindennapi kockázatos letöltések révén ki lehetnek téve a támadásoknak.

Miért veszélyes az Acreed?

Az Acreed a kriptovaluta-tárcák célzott célzását széles körű böngésző- és üzenetküldési adatlopással ötvözi, és egy rejtett, többlépcsős adatbetöltőt és nem hagyományos C2 csatornákat használ a felderítés bonyolítására. A tranzakciók eltérítésének képessége (weboldal/QR/vágólap manipuláció) az ellopott adatokat szinte azonnali pénzügyi veszteséggé alakítja, így a megelőzés és a gyors elszigetelés elengedhetetlen. Meg kell erősíteni a végpontok ellenőrzését, csökkenteni kell a tárolt titkokat, és minden megerősített fertőzést sürgős incidensként kell kezelni.