Akira Stealer undgår detektion
Akira, en informationstjælende malware opdaget i begyndelsen af 2023, har evnen til at stjæle følsomme data som gemte loginoplysninger, betalingskortoplysninger, brugernavne, systemidentifikation, hardwarespecifikationer, installeret software og netværkskonfigurationer. Efter at have udtrukket disse data, uploader den dem til 'GoFile', en online-lagringstjeneste, og Discord-meddelelseskonti, der kontrolleres af trusselsaktøren. Som rapporteret eksklusivt til Cyber Security News, anvender Akira Stealer en flerlags infektionsproces til at skjule sin kode og undgå registrering.
Trusselsaktøren tilbyder også tjenester gennem Telegram, en C2-server og GitHub. Derudover hævder de, at denne malware er "Fuldstændig undetectable" (FUD). Deres Telegram-kanal, "Akira", har i øjeblikket 358 abonnenter. Desuden leverer trusselsaktøren et Malware-as-a-Service-domæne på "https[:]//akira[.]red/."
Akira kommer inde i et CMD-script
Til analyseformål opnåede forskere en prøvefil med navnet "3989X_NORD_VPN_PREMIUM_HITS.txt.cmd." Denne fil var et CMD-script med skjult, sløret kode. Navnlig, som hævdet af trusselsaktøren, går denne fil ubemærket hen af VirusTotal. Når den udføres, dropper den en concealed.bat batchfil i den aktuelle mappe, som også er uigennemtrængelig for detektion. Denne fil indeholder et sløret PowerShell-script, der integrerer batchfilen med tmp.vbs-filen til udførelse via csscript.exe-processen.
Med hensyn til informationstyveri opretter malwaren en mappe opkaldt efter den kompromitterede pc til at gemme de stjålne data. Efterfølgende påbegynder det tyveri af oplysninger fra forskellige webbrowsere, herunder Microsoft Edge, Google Chrome, Opera, Mozilla Firefox og 14 andre browsere. Derudover er malwaren dygtig til at målrette finansielle data, omfatte gemte kreditkortoplysninger og loginoplysninger, indsamle bogmærker og data om tegnebogsudvidelser, tage skærmbilleder og mere.
Hvordan kan malware undgå registrering?
Malware kan anvende forskellige teknikker til at undgå opdagelse af sikkerhedssoftware og undgå cybersikkerhedseksperters undersøgelse. Nogle af disse unddragelsestaktikker inkluderer:
- Polymorf kode: Malware kan bruge polymorf kode til at ændre dens udseende, hver gang den inficerer et nyt system. Dette gør det svært for signaturbaseret antivirussoftware at identificere og blokere det, fordi malwarens kode konstant ændrer sig.
- Metamorfisk kode: I lighed med polymorfisk kode omskriver metamorfisk kode sig selv fuldstændigt med hver infektion, hvilket gør det endnu mere udfordrende at opdage.
- Rootkit-teknikker: Malware kan bruge rootkit-teknikker til at skjule sin tilstedeværelse på et system. Rootkits manipulerer operativsystemet for at skjule malwarens filer, processer og poster i registreringsdatabasen.
- Kryptering og kodning: Malware kan kryptere eller kode dens kode for at gøre den ulæselig for sikkerhedssoftware. Den dekrypterer eller afkoder kun sin nyttelast, når den er sikkert inde i målsystemet, hvilket gør det svært at opdage før udførelse.
- Skjul indlæsning: Malware kan bruge teknikker til at indlæse sig selv i hukommelsen uden at skrive til disk, hvilket gør det mindre sandsynligt, at det bliver opdaget af filbaserede sikkerhedsscanninger.
- Dynamisk linking: Nogle malware bruger dynamisk linking, hvilket betyder, at den kun indlæser de nødvendige biblioteker, når den udføres, hvilket reducerer antallet af mistænkelige filer eller funktioner, der kan detekteres.
- Anti-analyseteknikker: Malware kan registrere, når den kører i en sandkasse eller et virtuelt miljø, og opfører sig venligt i disse situationer, hvilket gør det sværere for forskere at analysere dets adfærd.
- Kodetilsløring: Malwareforfattere kan med vilje skjule deres kode, hvilket gør det udfordrende for sikkerhedsanalytikere at forstå malwarens logik og funktionalitet.
- Filløs malware: Noget malware fungerer udelukkende i hukommelsen og efterlader ikke spor på filsystemet, hvilket kan undgå signaturbaserede detektionsmetoder.