Akira Stealer elkerüli az észlelést

Az Akira, egy információlopó kártevő, amelyet 2023 elején fedeztek fel, képes ellopni olyan érzékeny adatokat, mint a mentett bejelentkezési adatok, bankkártya-információk, felhasználónevek, rendszerazonosítók, hardverspecifikációk, telepített szoftverek és hálózati konfigurációk. Az adatok kinyerése után feltölti azokat a „GoFile” online tárhelyszolgáltatásba, valamint a fenyegetés szereplője által felügyelt Discord üzenetküldő fiókokba. Amint arról kizárólag a Cyber Security News beszámolt, az Akira Stealer többszintű fertőzési folyamatot alkalmaz kódja elrejtésére és az észlelés elkerülésére.

A fenyegetettség szereplője a Telegramon, egy C2-szerveren és a GitHubon keresztül is kínál szolgáltatásokat. Ezenkívül azt állítják, hogy ez a rosszindulatú program "teljesen észlelhetetlen" (FUD). Telegram csatornájuk, az "Akira" jelenleg 358 előfizetővel büszkélkedhet. Ezenkívül a fenyegetés szereplője egy Malware-as-a-Service domaint biztosít a „https[:]//akira[.]red/” címen.

Akira bekerült egy CMD-szkriptbe

Elemzési célból a kutatók megszerezték a „3989X_NORD_VPN_PREMIUM_HITS.txt.cmd” nevű mintafájlt. Ez a fájl egy CMD-szkript volt rejtett, homályos kóddal. Nevezetesen, amint azt a fenyegetőző állítja, ezt a fájlt a VirusTotal nem veszi észre. Végrehajtáskor egy concealed.bat kötegfájlt ejt az aktuális könyvtárba, amely szintén nem képes észlelni. Ez a fájl egy homályos PowerShell-szkriptet tartalmaz, amely integrálja a kötegfájlt a tmp.vbs fájllal a csscript.exe folyamaton keresztüli végrehajtáshoz.

Ami az információlopást illeti, a kártevő létrehoz egy mappát, amelyet a feltört számítógépről neveznek el az ellopott adatok tárolására. Ezt követően megkezdi az információk ellopását különböző webböngészőkből, köztük a Microsoft Edge-ből, a Google Chrome-ból, az Opera-ból, a Mozilla Firefoxból és 14 másik böngészőből. Ezenkívül a rosszindulatú program jártas a pénzügyi adatok célzásában, beleértve a mentett hitelkártya-adatokat és bejelentkezési adatokat, könyvjelzőket és pénztárcabővítési adatokat gyűjt, képernyőképeket készít és így tovább.

Hogyan kerülhetik el a rosszindulatú programok az észlelést?

A rosszindulatú programok különféle technikákat alkalmazhatnak, hogy elkerüljék a biztonsági szoftver általi észlelést, és elkerüljék a kiberbiztonsági szakértők ellenőrzését. Néhány ilyen kijátszási taktika a következőket tartalmazza:

  • Polimorf kód: A rosszindulatú programok polimorf kódot használhatnak a megjelenés megváltoztatására minden alkalommal, amikor új rendszert fertőznek meg. Ez megnehezíti az aláírás-alapú víruskereső szoftverek azonosítását és blokkolását, mivel a kártevő kódja folyamatosan változik.
  • Metamorf kód: A polimorf kódhoz hasonlóan a metamorf kód minden fertőzéssel teljesen átírja magát, így még nagyobb kihívást jelent az észlelése.
  • Rootkit technikák: A rosszindulatú programok rootkit technikákat használhatnak, hogy elrejtsék jelenlétét a rendszeren. A gyökérkészletek manipulálják az operációs rendszert, hogy elrejtse a rosszindulatú program fájljait, folyamatait és beállításjegyzék-bejegyzéseit.
  • Titkosítás és kódolás: A rosszindulatú programok titkosíthatják vagy kódolhatják a kódjukat, hogy a biztonsági szoftverek számára olvashatatlanná váljanak. Csak akkor dekódolja vagy dekódolja a hasznos terhet, ha az biztonságosan a célrendszeren belül van, így nehéz észlelni a végrehajtás előtt.
  • Lopakodó betöltés: A rosszindulatú programok technikákat alkalmazhatnak arra, hogy lemezre írás nélkül betöltsék magukat a memóriába, így kisebb valószínűséggel észlelik őket a fájlalapú biztonsági vizsgálatok.
  • Dinamikus linkelés: Egyes rosszindulatú programok dinamikus linkelést használnak, ami azt jelenti, hogy csak a szükséges könyvtárakat tölti be a végrehajtás során, csökkentve az észlelhető gyanús fájlok vagy funkciók számát.
  • Elemzésellenes technikák: A rosszindulatú programok képesek észlelni, ha homokozóban vagy virtuális környezetben futnak, és jóindulatúan viselkednek azokban a helyzetekben, ami megnehezíti a kutatók számára a viselkedés elemzését.
  • Kódzavarás: A rosszindulatú programok készítői szándékosan eltakarhatják kódjukat, ami kihívást jelent a biztonsági elemzők számára, hogy megértsék a kártevő logikáját és működését.
  • Fájl nélküli rosszindulatú programok: Egyes rosszindulatú programok teljes mértékben a memóriában működnek, és nem hagynak nyomot a fájlrendszerben, amelyek kikerülhetik az aláírás-alapú észlelési módszereket.

Zaib -Ig
October 26, 2023
Computer Security
Magyar
October 26, 2023
Computer Security

Népszerű Bejegyzések

A Microsoft arra figyelmeztet, hogy az állam által támogatott...

5 days ezelőtt

Trojan Al11 Malware Detection

11 months ezelőtt

„Az iCloudját feltörték” és „Az iPhone-ját feltörték” előugró...

7 months ezelőtt

A Pinaview egy teljes funkcionalitású adware alkalmazás

10 months ezelőtt

Mi az a Lucky Ransomware?

7 months ezelőtt

„American Express – Frissítse fiókinformációit” E-mail átverés

6 months ezelőtt
Magyar
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.