Увеличение угрозы ACRStealer: инфокрад с адаптивной технологией

Увеличение угрозы ACRStealer: инфокрад с адаптивной технологией

Аналитический центр безопасности AhnLab (ASEC) зафиксировал значительное увеличение активности ACRStealer, вредоносного ПО для кражи данных, замаскированного под нелегальное программное обеспечение, такое как взломы и кейгены. Несмотря на первоначально низкое распространение, в последние месяцы ACRStealer стал угрожать большему числу пользователей.

Методология работы ACRStealer

Пожалуй, одно из самых тревожных аспектов работы ACRStealer — это его инновационная методология, использующая технологию распознавания скрытых данных (DDR) для инфраструктуры командования и контроля (C2). Основные моменты включают:

  • Использование легитимных веб-сервисов в качестве промежуточных C2, раньше это были такие платформы, как Steam, а теперь — Google Docs.
  • Кодирование реального домена C2 в Base64 на определенной странице, к которой вредоносная программа обращается для декодирования.
  • Адаптивные методы передачи данных C2, включая частую смену расположения и форматов строк C2 на промежуточных платформах.

Скрытые угрозы

Ранее строки C2 были видны на страницах, но теперь они скрыты в сводках, что снижает вероятность их обнаружения пользователями. Как только ACRStealer получает домен C2, он объединяет его с идентификатором UUID, жестко закодированным в образце вредоносной программы, для генерации конкретного URL-адреса загрузки конфиденциальных данных.

Целевые объекты и эксфильтрация данных

Конфигурационный файл ACRStealer, управляющий его действиями, содержит множество целевой информации, включая:

  • Данные браузера
  • Файлы криптовалютного кошелька
  • Учетные данные FTP-сервера
  • Конфиденциальные данные приложений, таких как программы чата и менеджеры паролей

Такое разнообразие в целевых объектах указывает на широкий спектр угроз для пользователей. Процесс эксфильтрации данных организован так, что украденная информация сжимается в ZIP-файлы и отправляется на сервер C2. ACRStealer эффективно собирает и обрабатывает данные из таких популярных браузеров, как Chrome и Firefox, а также различных приложений для криптовалютных кошельков.

Риски для пользователей

Пользователи, которые загружают потенциально вредоносное программное обеспечение из ненадежных источников, подвергаются особому риску. В свете растущей активности ACRStealer, необходимость в повышенной осторожности и осведомленности о киберугрозах становится более актуальной, чем когда-либо.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: