Akira Stealer elkerüli az észlelést
Az Akira, egy információlopó kártevő, amelyet 2023 elején fedeztek fel, képes ellopni olyan érzékeny adatokat, mint a mentett bejelentkezési adatok, bankkártya-információk, felhasználónevek, rendszerazonosítók, hardverspecifikációk, telepített szoftverek és hálózati konfigurációk. Az adatok kinyerése után feltölti azokat a „GoFile” online tárhelyszolgáltatásba, valamint a fenyegetés szereplője által felügyelt Discord üzenetküldő fiókokba. Amint arról kizárólag a Cyber Security News beszámolt, az Akira Stealer többszintű fertőzési folyamatot alkalmaz kódja elrejtésére és az észlelés elkerülésére.
A fenyegetettség szereplője a Telegramon, egy C2-szerveren és a GitHubon keresztül is kínál szolgáltatásokat. Ezenkívül azt állítják, hogy ez a rosszindulatú program "teljesen észlelhetetlen" (FUD). Telegram csatornájuk, az "Akira" jelenleg 358 előfizetővel büszkélkedhet. Ezenkívül a fenyegetés szereplője egy Malware-as-a-Service domaint biztosít a „https[:]//akira[.]red/” címen.
Akira bekerült egy CMD-szkriptbe
Elemzési célból a kutatók megszerezték a „3989X_NORD_VPN_PREMIUM_HITS.txt.cmd” nevű mintafájlt. Ez a fájl egy CMD-szkript volt rejtett, homályos kóddal. Nevezetesen, amint azt a fenyegetőző állítja, ezt a fájlt a VirusTotal nem veszi észre. Végrehajtáskor egy concealed.bat kötegfájlt ejt az aktuális könyvtárba, amely szintén nem képes észlelni. Ez a fájl egy homályos PowerShell-szkriptet tartalmaz, amely integrálja a kötegfájlt a tmp.vbs fájllal a csscript.exe folyamaton keresztüli végrehajtáshoz.
Ami az információlopást illeti, a kártevő létrehoz egy mappát, amelyet a feltört számítógépről neveznek el az ellopott adatok tárolására. Ezt követően megkezdi az információk ellopását különböző webböngészőkből, köztük a Microsoft Edge-ből, a Google Chrome-ból, az Opera-ból, a Mozilla Firefoxból és 14 másik böngészőből. Ezenkívül a rosszindulatú program jártas a pénzügyi adatok célzásában, beleértve a mentett hitelkártya-adatokat és bejelentkezési adatokat, könyvjelzőket és pénztárcabővítési adatokat gyűjt, képernyőképeket készít és így tovább.
Hogyan kerülhetik el a rosszindulatú programok az észlelést?
A rosszindulatú programok különféle technikákat alkalmazhatnak, hogy elkerüljék a biztonsági szoftver általi észlelést, és elkerüljék a kiberbiztonsági szakértők ellenőrzését. Néhány ilyen kijátszási taktika a következőket tartalmazza:
- Polimorf kód: A rosszindulatú programok polimorf kódot használhatnak a megjelenés megváltoztatására minden alkalommal, amikor új rendszert fertőznek meg. Ez megnehezíti az aláírás-alapú víruskereső szoftverek azonosítását és blokkolását, mivel a kártevő kódja folyamatosan változik.
- Metamorf kód: A polimorf kódhoz hasonlóan a metamorf kód minden fertőzéssel teljesen átírja magát, így még nagyobb kihívást jelent az észlelése.
- Rootkit technikák: A rosszindulatú programok rootkit technikákat használhatnak, hogy elrejtsék jelenlétét a rendszeren. A gyökérkészletek manipulálják az operációs rendszert, hogy elrejtse a rosszindulatú program fájljait, folyamatait és beállításjegyzék-bejegyzéseit.
- Titkosítás és kódolás: A rosszindulatú programok titkosíthatják vagy kódolhatják a kódjukat, hogy a biztonsági szoftverek számára olvashatatlanná váljanak. Csak akkor dekódolja vagy dekódolja a hasznos terhet, ha az biztonságosan a célrendszeren belül van, így nehéz észlelni a végrehajtás előtt.
- Lopakodó betöltés: A rosszindulatú programok technikákat alkalmazhatnak arra, hogy lemezre írás nélkül betöltsék magukat a memóriába, így kisebb valószínűséggel észlelik őket a fájlalapú biztonsági vizsgálatok.
- Dinamikus linkelés: Egyes rosszindulatú programok dinamikus linkelést használnak, ami azt jelenti, hogy csak a szükséges könyvtárakat tölti be a végrehajtás során, csökkentve az észlelhető gyanús fájlok vagy funkciók számát.
- Elemzésellenes technikák: A rosszindulatú programok képesek észlelni, ha homokozóban vagy virtuális környezetben futnak, és jóindulatúan viselkednek azokban a helyzetekben, ami megnehezíti a kutatók számára a viselkedés elemzését.
- Kódzavarás: A rosszindulatú programok készítői szándékosan eltakarhatják kódjukat, ami kihívást jelent a biztonsági elemzők számára, hogy megértsék a kártevő logikáját és működését.
- Fájl nélküli rosszindulatú programok: Egyes rosszindulatú programok teljes mértékben a memóriában működnek, és nem hagynak nyomot a fájlrendszerben, amelyek kikerülhetik az aláírás-alapú észlelési módszereket.