Увеличение угрозы ACRStealer: инфокрад с адаптивной технологией

Аналитический центр безопасности AhnLab (ASEC) зафиксировал значительное увеличение активности ACRStealer, вредоносного ПО для кражи данных, замаскированного под нелегальное программное обеспечение, такое как взломы и кейгены. Несмотря на первоначально низкое распространение, в последние месяцы ACRStealer стал угрожать большему числу пользователей.
Методология работы ACRStealer
Пожалуй, одно из самых тревожных аспектов работы ACRStealer — это его инновационная методология, использующая технологию распознавания скрытых данных (DDR) для инфраструктуры командования и контроля (C2). Основные моменты включают:
- Использование легитимных веб-сервисов в качестве промежуточных C2, раньше это были такие платформы, как Steam, а теперь — Google Docs.
- Кодирование реального домена C2 в Base64 на определенной странице, к которой вредоносная программа обращается для декодирования.
- Адаптивные методы передачи данных C2, включая частую смену расположения и форматов строк C2 на промежуточных платформах.
Скрытые угрозы
Ранее строки C2 были видны на страницах, но теперь они скрыты в сводках, что снижает вероятность их обнаружения пользователями. Как только ACRStealer получает домен C2, он объединяет его с идентификатором UUID, жестко закодированным в образце вредоносной программы, для генерации конкретного URL-адреса загрузки конфиденциальных данных.
Целевые объекты и эксфильтрация данных
Конфигурационный файл ACRStealer, управляющий его действиями, содержит множество целевой информации, включая:
- Данные браузера
- Файлы криптовалютного кошелька
- Учетные данные FTP-сервера
- Конфиденциальные данные приложений, таких как программы чата и менеджеры паролей
Такое разнообразие в целевых объектах указывает на широкий спектр угроз для пользователей. Процесс эксфильтрации данных организован так, что украденная информация сжимается в ZIP-файлы и отправляется на сервер C2. ACRStealer эффективно собирает и обрабатывает данные из таких популярных браузеров, как Chrome и Firefox, а также различных приложений для криптовалютных кошельков.
Риски для пользователей
Пользователи, которые загружают потенциально вредоносное программное обеспечение из ненадежных источников, подвергаются особому риску. В свете растущей активности ACRStealer, необходимость в повышенной осторожности и осведомленности о киберугрозах становится более актуальной, чем когда-либо.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



