Il ladro di Akira sfugge al rilevamento
Akira, un malware che ruba informazioni scoperto all'inizio del 2023, ha la capacità di rubare dati sensibili come dettagli di accesso salvati, informazioni sulle carte di pagamento, nomi utente, identificazione del sistema, specifiche hardware, software installato e configurazioni di rete. Dopo aver estratto questi dati, li carica su "GoFile", un servizio di archiviazione online e sugli account di messaggistica Discord controllati dall'autore della minaccia. Come riportato in esclusiva a Cyber Security News, Akira Stealer utilizza un processo di infezione a più livelli per nascondere il proprio codice ed eludere il rilevamento.
L'autore della minaccia offre servizi anche tramite Telegram, un server C2 e GitHub. Inoltre, affermano che questo malware è "Fully Undetectable" (FUD). Il loro canale Telegram, "Akira", vanta attualmente 358 abbonati. Inoltre, l'autore della minaccia fornisce un dominio Malware-as-a-Service su "https[:]//akira[.]red/."
Akira entra in una sceneggiatura CMD
A scopo di analisi, i ricercatori hanno ottenuto un file di esempio denominato "3989X_NORD_VPN_PREMIUM_HITS.txt.cmd". Questo file era uno script CMD con codice nascosto e offuscato. In particolare, come affermato dall'autore della minaccia, questo file passa inosservato da VirusTotal. Una volta eseguito, rilascia un file batch hidden.bat nella directory corrente, anch'essa impermeabile al rilevamento. Questo file contiene uno script PowerShell offuscato che integra il file batch con il file tmp.vbs per l'esecuzione tramite il processo csscript.exe.
Per quanto riguarda il furto di informazioni, il malware crea una cartella che prende il nome dal PC compromesso per archiviare i dati rubati. Successivamente, inizia il furto di informazioni da vari browser Web, tra cui Microsoft Edge, Google Chrome, Opera, Mozilla Firefox e altri 14 browser. Inoltre, il malware è abile nel prendere di mira i dati finanziari, comprendendo i dettagli salvati della carta di credito e le credenziali di accesso, raccogliendo segnalibri e dati di estensione del portafoglio, acquisendo screenshot e altro ancora.
Come può il malware eludere il rilevamento?
Il malware può utilizzare varie tecniche per eludere il rilevamento da parte del software di sicurezza ed eludere il controllo degli esperti di sicurezza informatica. Alcune di queste tattiche di evasione includono:
- Codice polimorfico: il malware può utilizzare il codice polimorfico per modificare il proprio aspetto ogni volta che infetta un nuovo sistema. Ciò rende difficile per il software antivirus basato su firma identificarlo e bloccarlo perché il codice del malware cambia costantemente.
- Codice metamorfico: simile al codice polimorfico, il codice metamorfico si riscrive completamente a ogni infezione, rendendolo ancora più difficile da rilevare.
- Tecniche rootkit: il malware può utilizzare tecniche rootkit per nascondere la propria presenza su un sistema. I rootkit manipolano il sistema operativo per nascondere i file, i processi e le voci di registro del malware.
- Crittografia e codifica: il malware può crittografare o codificare il proprio codice per renderlo illeggibile per il software di sicurezza. Decrittografa o decodifica il suo carico utile solo una volta che è al sicuro all'interno del sistema di destinazione, rendendolo difficile da rilevare prima dell'esecuzione.
- Caricamento nascosto: il malware può utilizzare tecniche per caricarsi in memoria senza scrivere sul disco, rendendo meno probabile che venga rilevato dalle scansioni di sicurezza basate su file.
- Collegamento dinamico: alcuni malware utilizzano il collegamento dinamico, il che significa che caricano solo le librerie necessarie quando vengono eseguiti, riducendo il numero di file o funzioni sospette che possono essere rilevati.
- Tecniche anti-analisi: il malware è in grado di rilevare quando è in esecuzione in una sandbox o in un ambiente virtuale e comportarsi in modo benigno in tali situazioni, rendendo più difficile per i ricercatori analizzarne il comportamento.
- Offuscamento del codice: gli autori di malware possono oscurare intenzionalmente il proprio codice, rendendo difficile per gli analisti della sicurezza comprendere la logica e la funzionalità del malware.
- Malware senza file: alcuni malware funzionano interamente in memoria e non lasciano traccia nel file system, il che può eludere i metodi di rilevamento basati sulla firma.