Το Akira Stealer Evades Detection

Το Akira, ένα κακόβουλο λογισμικό κλοπής πληροφοριών που ανακαλύφθηκε στις αρχές του 2023, έχει τη δυνατότητα να κλέβει ευαίσθητα δεδομένα όπως αποθηκευμένα στοιχεία σύνδεσης, στοιχεία κάρτας πληρωμής, ονόματα χρήστη, αναγνώριση συστήματος, λεπτομέρειες υλικού, εγκατεστημένο λογισμικό και διαμορφώσεις δικτύου. Μετά την εξαγωγή αυτών των δεδομένων, τα ανεβάζει στο «GoFile», μια διαδικτυακή υπηρεσία αποθήκευσης και στους λογαριασμούς μηνυμάτων Discord που ελέγχονται από τον παράγοντα απειλών. Όπως αναφέρεται αποκλειστικά στο Cyber Security News, το Akira Stealer χρησιμοποιεί μια διαδικασία μόλυνσης πολλαπλών επιπέδων για την απόκρυψη του κωδικού του και την αποφυγή του εντοπισμού.

Ο παράγοντας απειλών προσφέρει επίσης υπηρεσίες μέσω του Telegram, ενός διακομιστή C2 και του GitHub. Επιπλέον, υποστηρίζουν ότι αυτό το κακόβουλο λογισμικό είναι "Πλήρως μη ανιχνεύσιμο" (FUD). Το κανάλι τους στο Telegram, "Akira", έχει επί του παρόντος 358 συνδρομητές. Επιπλέον, ο παράγοντας απειλής παρέχει έναν τομέα Malware-as-a-Service στο "https[:]//akira[.]red/."

Το Akira έρχεται μέσα σε ένα σενάριο CMD

Για λόγους ανάλυσης, οι ερευνητές έλαβαν ένα δείγμα αρχείου με το όνομα "3989X_NORD_VPN_PREMIUM_HITS.txt.cmd." Αυτό το αρχείο ήταν ένα σενάριο CMD με κρυφό, ασαφή κώδικα. Σημειωτέον, όπως ισχυρίστηκε ο ηθοποιός απειλών, αυτό το αρχείο περνά απαρατήρητο από το VirusTotal. Όταν εκτελείται, ρίχνει ένα αρχείο δέσμης concealed.bat στον τρέχοντα κατάλογο, ο οποίος είναι επίσης αδιαπέραστος στον εντοπισμό. Αυτό το αρχείο περιέχει μια ασαφή δέσμη ενεργειών PowerShell που ενσωματώνει το αρχείο δέσμης με το αρχείο tmp.vbs για εκτέλεση μέσω της διαδικασίας csscript.exe.

Όσον αφορά την κλοπή πληροφοριών, το κακόβουλο λογισμικό δημιουργεί έναν φάκελο με το όνομα του παραβιασμένου υπολογιστή για την αποθήκευση των κλοπιμαίων δεδομένων. Στη συνέχεια, αρχίζει η κλοπή πληροφοριών από διάφορα προγράμματα περιήγησης ιστού, συμπεριλαμβανομένων των Microsoft Edge, Google Chrome, Opera, Mozilla Firefox και 14 άλλων προγραμμάτων περιήγησης. Επιπλέον, το κακόβουλο λογισμικό είναι ικανό να στοχεύει οικονομικά δεδομένα, να περιλαμβάνει αποθηκευμένα στοιχεία πιστωτικής κάρτας και διαπιστευτήρια σύνδεσης, να συλλέγει σελιδοδείκτες και δεδομένα επέκτασης πορτοφολιού, να καταγράφει στιγμιότυπα οθόνης και πολλά άλλα.

Πώς μπορεί το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό;

Το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει διάφορες τεχνικές για να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας και να αποφύγει τον έλεγχο των ειδικών στον τομέα της κυβερνοασφάλειας. Μερικές από αυτές τις τακτικές αποφυγής περιλαμβάνουν:

Πολυμορφικός κώδικας: Το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει πολυμορφικό κώδικα για να αλλάξει την εμφάνισή του κάθε φορά που μολύνει ένα νέο σύστημα. Αυτό καθιστά δύσκολο το λογισμικό προστασίας από ιούς που βασίζεται σε υπογραφές να το αναγνωρίσει και να το αποκλείσει επειδή ο κώδικας του κακόβουλου λογισμικού αλλάζει συνεχώς.
Μεταμορφικός κώδικας: Παρόμοιος με τον πολυμορφικό κώδικα, ο μεταμορφικός κώδικας ξαναγράφεται πλήρως με κάθε μόλυνση, καθιστώντας τον ακόμη πιο δύσκολο να τον ανιχνεύσετε.
Τεχνικές Rootkit: Το κακόβουλο λογισμικό μπορεί να χρησιμοποιήσει τεχνικές rootkit για να κρύψει την παρουσία του σε ένα σύστημα. Τα Rootkits χειρίζονται το λειτουργικό σύστημα για να αποκρύψουν τα αρχεία, τις διαδικασίες και τις καταχωρίσεις μητρώου του κακόβουλου λογισμικού.
Κρυπτογράφηση και κωδικοποίηση: Το κακόβουλο λογισμικό μπορεί να κρυπτογραφήσει ή να κωδικοποιήσει τον κώδικά του ώστε να μην είναι αναγνώσιμος από το λογισμικό ασφαλείας. Αποκρυπτογραφεί ή αποκωδικοποιεί το ωφέλιμο φορτίο του μόνο όταν βρίσκεται με ασφάλεια μέσα στο σύστημα προορισμού, γεγονός που καθιστά δύσκολο τον εντοπισμό του πριν από την εκτέλεση.
Κρυφή φόρτωση: Το κακόβουλο λογισμικό μπορεί να χρησιμοποιεί τεχνικές για να φορτωθεί στη μνήμη χωρίς εγγραφή στο δίσκο, γεγονός που καθιστά λιγότερο πιθανό τον εντοπισμό του από σαρώσεις ασφαλείας που βασίζονται σε αρχεία.
Δυναμική σύνδεση: Κάποιο κακόβουλο λογισμικό χρησιμοποιεί δυναμική σύνδεση, πράγμα που σημαίνει ότι φορτώνει μόνο τις απαραίτητες βιβλιοθήκες όταν εκτελείται, μειώνοντας τον αριθμό των ύποπτων αρχείων ή λειτουργιών που μπορούν να εντοπιστούν.
Τεχνικές κατά της ανάλυσης: Το κακόβουλο λογισμικό μπορεί να ανιχνεύσει πότε εκτελείται σε sandbox ή εικονικό περιβάλλον και να συμπεριφέρεται καλοήθης σε αυτές τις καταστάσεις, καθιστώντας πιο δύσκολο για τους ερευνητές να αναλύσουν τη συμπεριφορά του.
Συσκότιση κώδικα: Οι δημιουργοί κακόβουλου λογισμικού μπορούν σκόπιμα να αποκρύψουν τον κώδικά τους, καθιστώντας δύσκολο για τους αναλυτές ασφαλείας να κατανοήσουν τη λογική και τη λειτουργικότητα του κακόβουλου λογισμικού.
Κακόβουλο λογισμικό χωρίς αρχεία: Ορισμένο κακόβουλο λογισμικό λειτουργεί εξ ολοκλήρου στη μνήμη και δεν αφήνει ίχνος στο σύστημα αρχείων, το οποίο μπορεί να αποφύγει τις μεθόδους ανίχνευσης που βασίζονται σε υπογραφές.