Akira Stealer vengia aptikimo
„Akira“, informaciją vagianti kenkėjiška programa, aptikta 2023 m. pradžioje, gali pasisavinti slaptus duomenis, pvz., išsaugotus prisijungimo duomenis, mokėjimo kortelės informaciją, naudotojų vardus, sistemos identifikavimą, techninės įrangos specifiką, įdiegtą programinę įrangą ir tinklo konfigūracijas. Išskleidęs šiuos duomenis, jis įkelia juos į „GoFile“, internetinę saugyklos paslaugą, ir „Discord“ pranešimų siuntimo paskyras, kurias valdo grėsmės veikėjas. Kaip pranešama išskirtinai „Cyber Security News“, „Akira Stealer“ naudoja kelių pakopų infekcijos procesą, kad nuslėptų savo kodą ir išvengtų aptikimo.
Grėsmės veikėjas taip pat siūlo paslaugas per „Telegram“, C2 serverį ir „GitHub“. Be to, jie tvirtina, kad ši kenkėjiška programa yra „Visiškai neaptinkama“ (FUD). Jų „Telegram“ kanalas „Akira“ šiuo metu gali pasigirti 358 prenumeratoriais. Be to, grėsmės veikėjas pateikia kenkėjiškos programos kaip paslaugos domeną adresu https[:]//akira[.]red/.
Akira ateina į CMD scenarijų
Analizės tikslais mokslininkai gavo pavyzdinį failą pavadinimu „3989X_NORD_VPN_PREMIUM_HITS.txt.cmd“. Šis failas buvo CMD scenarijus su paslėptu, užmaskuotu kodu. Pažymėtina, kaip teigia grėsmės veikėjas, šio failo nepastebi „VirusTotal“. Kai jis vykdomas, jis numeta concealed.bat paketinį failą į dabartinį katalogą, kuris taip pat yra nepralaidus aptikimui. Šiame faile yra užmaskuotas „PowerShell“ scenarijus, kuris integruoja paketinį failą su tmp.vbs failu, kad būtų galima vykdyti naudojant csscript.exe procesą.
Kalbant apie informacijos vagystę, kenkėjiška programa sukuria aplanką, pavadintą pažeisto kompiuterio vardu, kad būtų saugomi sugadinti duomenys. Vėliau ji pradeda informacijos vagystę iš įvairių interneto naršyklių, įskaitant Microsoft Edge, Google Chrome, Opera, Mozilla Firefox ir 14 kitų naršyklių. Be to, kenkėjiška programa gali taikyti finansinius duomenis, apimančią išsaugotą kredito kortelės informaciją ir prisijungimo duomenis, rinkti žymes ir piniginės plėtinių duomenis, fiksuoti ekrano kopijas ir dar daugiau.
Kaip kenkėjiška programa gali išvengti aptikimo?
Kenkėjiškos programos gali naudoti įvairius metodus, kad išvengtų saugos programinės įrangos aptikimo ir išvengtų kibernetinio saugumo ekspertų patikrinimo. Kai kurios iš šių vengimo taktikų apima:
- Polimorfinis kodas: kenkėjiška programa gali naudoti polimorfinį kodą, kad pakeistų savo išvaizdą kiekvieną kartą, kai užkrečia naują sistemą. Dėl to parašu pagrįstai antivirusinei programinei įrangai sunku ją atpažinti ir blokuoti, nes kenkėjiškos programos kodas nuolat keičiasi.
- Metamorfinis kodas: panašus į polimorfinį kodą, metamorfinis kodas visiškai persirašo su kiekviena infekcija, todėl jį aptikti tampa dar sudėtingiau.
- „Rootkit“ metodai: kenkėjiška programa gali naudoti „rootkit“ metodus, kad paslėptų savo buvimą sistemoje. Rootkit manipuliuoja operacine sistema, kad paslėptų kenkėjiškų programų failus, procesus ir registro įrašus.
- Šifravimas ir kodavimas: kenkėjiška programa gali užšifruoti arba užkoduoti savo kodą, kad jis būtų neįskaitomas saugos programinei įrangai. Jis iššifruoja arba iššifruoja naudingą apkrovą tik tada, kai ji saugiai patenka į tikslinę sistemą, todėl ją sunku aptikti prieš vykdant.
- Slaptas įkėlimas: kenkėjiška programa gali naudoti metodus, kad įsikeltų į atmintį neįrašant į diską, todėl mažesnė tikimybė, kad ji bus aptikta atliekant failų saugos nuskaitymus.
- Dinaminis susiejimas: kai kurios kenkėjiškos programos naudoja dinaminį susiejimą, o tai reiškia, kad jos vykdydamos tik įkelia reikiamas bibliotekas, todėl sumažėja įtartinų failų ar funkcijų, kurias galima aptikti, skaičius.
- Anti-analizės metodai: kenkėjiška programa gali aptikti, kada ji veikia smėlio dėžėje arba virtualioje aplinkoje, ir tokiose situacijose elgtis nepalankiai, todėl tyrėjams bus sunkiau analizuoti jos elgesį.
- Kodo supainiojimas: kenkėjiškų programų autoriai gali sąmoningai paslėpti savo kodą, todėl saugumo analitikams sunku suprasti kenkėjiškos programos logiką ir funkcionalumą.
- Kenkėjiška programa be failų: kai kurios kenkėjiškos programos veikia tik atmintyje ir nepalieka pėdsakų failų sistemoje, o tai gali išvengti parašu pagrįstų aptikimo metodų.