Le voleur d'Akira échappe à la détection

Akira, un malware voleur d'informations découvert début 2023, a la capacité de voler des données sensibles telles que les informations de connexion enregistrées, les informations de carte de paiement, les noms d'utilisateur, l'identification du système, les spécificités du matériel, les logiciels installés et les configurations réseau. Après avoir extrait ces données, il les télécharge sur « GoFile », un service de stockage en ligne, et sur les comptes de messagerie Discord contrôlés par l'acteur malveillant. Comme indiqué exclusivement dans Cyber Security News, Akira Stealer utilise un processus d'infection à plusieurs niveaux pour dissimuler son code et échapper à la détection.

L'acteur malveillant propose également des services via Telegram, un serveur C2 et GitHub. De plus, ils affirment que ce malware est « totalement indétectable » (FUD). Leur chaîne Telegram, « Akira », compte actuellement 358 abonnés. En outre, l'acteur malveillant fournit un domaine Malware-as-a-Service à l'adresse « https[:]//akira[.]red/ ».

Akira entre dans un script CMD

À des fins d'analyse, les chercheurs ont obtenu un exemple de fichier nommé "3989X_NORD_VPN_PREMIUM_HITS.txt.cmd". Ce fichier était un script CMD avec du code caché et obscurci. Notamment, comme le prétend l’acteur malveillant, ce fichier passe inaperçu par VirusTotal. Une fois exécuté, il dépose un fichier de commandes caché.bat dans le répertoire actuel, qui est également indétectable. Ce fichier contient un script PowerShell obscurci qui intègre le fichier batch avec le fichier tmp.vbs pour une exécution via le processus csscript.exe.

Concernant le vol d'informations, le malware crée un dossier nommé d'après le PC compromis pour stocker les données volées. Par la suite, il commence le vol d'informations à partir de divers navigateurs Web, notamment Microsoft Edge, Google Chrome, Opera, Mozilla Firefox et 14 autres navigateurs. De plus, le malware est capable de cibler les données financières, englobant les détails de carte de crédit et les identifiants de connexion enregistrés, la collecte de signets et de données d'extension de portefeuille, la capture de captures d'écran, etc.

Comment les logiciels malveillants peuvent-ils échapper à la détection ?

Les logiciels malveillants peuvent utiliser diverses techniques pour échapper à la détection par les logiciels de sécurité et à l'examen minutieux des experts en cybersécurité. Certaines de ces tactiques d’évasion comprennent :

  • Code polymorphe : les logiciels malveillants peuvent utiliser du code polymorphe pour modifier leur apparence à chaque fois qu'ils infectent un nouveau système. Il est donc difficile pour les logiciels antivirus basés sur les signatures de les identifier et de les bloquer, car le code du logiciel malveillant change constamment.
  • Code métamorphique : Semblable au code polymorphe, le code métamorphique se réécrit complètement à chaque infection, ce qui le rend encore plus difficile à détecter.
  • Techniques de rootkit : les logiciels malveillants peuvent utiliser des techniques de rootkit pour masquer leur présence sur un système. Les rootkits manipulent le système d'exploitation pour dissimuler les fichiers, processus et entrées de registre des logiciels malveillants.
  • Chiffrement et codage : les logiciels malveillants peuvent chiffrer ou coder leur code pour le rendre illisible pour les logiciels de sécurité. Il décrypte ou décode sa charge utile uniquement une fois qu'elle est en sécurité à l'intérieur du système cible, ce qui la rend difficile à détecter avant l'exécution.
  • Chargement furtif : les logiciels malveillants peuvent utiliser des techniques pour se charger en mémoire sans écrire sur le disque, ce qui les rend moins susceptibles d'être détectés par les analyses de sécurité basées sur les fichiers.
  • Liens dynamiques : certains logiciels malveillants utilisent des liens dynamiques, ce qui signifie qu'ils chargent uniquement les bibliothèques nécessaires lors de leur exécution, réduisant ainsi le nombre de fichiers ou de fonctions suspects pouvant être détectés.
  • Techniques anti-analyse : les logiciels malveillants peuvent détecter lorsqu'ils s'exécutent dans un bac à sable ou un environnement virtuel et se comporter de manière inoffensive dans ces situations, ce qui rend plus difficile pour les chercheurs d'analyser leur comportement.
  • Obfuscation du code : les auteurs de logiciels malveillants peuvent intentionnellement masquer leur code, ce qui rend difficile pour les analystes de sécurité de comprendre la logique et les fonctionnalités du logiciel malveillant.
  • Logiciels malveillants sans fichier : certains logiciels malveillants fonctionnent entièrement en mémoire et ne laissent aucune trace sur le système de fichiers, ce qui peut échapper aux méthodes de détection basées sur les signatures.

Par Zaib
October 26, 2023
Computer Security
Français
October 26, 2023
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.