Akira Stealer ontwijkt detectie

Akira, een informatiestelende malware die begin 2023 werd ontdekt, kan gevoelige gegevens stelen, zoals opgeslagen inloggegevens, betaalkaartgegevens, gebruikersnamen, systeemidentificatie, hardwarespecificaties, geïnstalleerde software en netwerkconfiguraties. Nadat deze gegevens zijn geëxtraheerd, worden deze geüpload naar 'GoFile', een online opslagdienst, en naar Discord-berichtenaccounts die worden beheerd door de bedreigingsacteur. Zoals exclusief aan Cyber Security News gemeld, maakt Akira Stealer gebruik van een meervoudig infectieproces om de code te verbergen en detectie te omzeilen.

De bedreigingsactor biedt ook diensten aan via Telegram, een C2-server en GitHub. Bovendien beweren ze dat deze malware "Fully Undetectable" (FUD) is. Hun Telegram-kanaal ‘Akira’ heeft momenteel 358 abonnees. Bovendien levert de bedreigingsacteur een Malware-as-a-Service-domein op "https[:]//akira[.]red/."

Akira komt in een CMD-script

Voor analysedoeleinden hebben onderzoekers een voorbeeldbestand verkregen met de naam "3989X_NORD_VPN_PREMIUM_HITS.txt.cmd." Dit bestand was een CMD-script met verborgen, versluierde code. Met name, zoals beweerd door de bedreigingsacteur, blijft dit bestand onopgemerkt door VirusTotal. Wanneer het wordt uitgevoerd, wordt een batchbestand concealed.bat in de huidige map geplaatst, wat ook ongevoelig is voor detectie. Dit bestand bevat een versluierd PowerShell-script dat het batchbestand integreert met het bestand tmp.vbs voor uitvoering via het csscript.exe-proces.

Wat informatiediefstal betreft, maakt de malware een map aan met de naam van de besmette pc om de gestolen gegevens op te slaan. Vervolgens begint het met de diefstal van informatie uit verschillende webbrowsers, waaronder Microsoft Edge, Google Chrome, Opera, Mozilla Firefox en 14 andere browsers. Bovendien is de malware bedreven in het aanvallen van financiële gegevens, waaronder opgeslagen creditcardgegevens en inloggegevens, het verzamelen van bladwijzers en gegevens over portemonnee-extensies, het vastleggen van schermafbeeldingen en meer.

Hoe kan malware detectie omzeilen?

Malware kan verschillende technieken gebruiken om detectie door beveiligingssoftware te omzeilen en het toezicht van cyberbeveiligingsexperts te omzeilen. Enkele van deze ontwijkingstactieken zijn onder meer:

  • Polymorfe code: Malware kan polymorfe code gebruiken om het uiterlijk ervan te veranderen telkens wanneer een nieuw systeem wordt geïnfecteerd. Dit maakt het moeilijk voor op handtekeningen gebaseerde antivirussoftware om deze te identificeren en te blokkeren, omdat de code van de malware voortdurend verandert.
  • Metamorfe code: Net als polymorfe code herschrijft metamorfe code zichzelf bij elke infectie volledig, waardoor het nog moeilijker wordt om deze te detecteren.
  • Rootkit-technieken: Malware kan rootkit-technieken gebruiken om zijn aanwezigheid op een systeem te verbergen. Rootkits manipuleren het besturingssysteem om de bestanden, processen en registervermeldingen van de malware te verbergen.
  • Versleuteling en codering: Malware kan de code ervan versleutelen of coderen, zodat deze onleesbaar wordt voor beveiligingssoftware. Het decodeert of decodeert zijn lading pas zodra deze zich veilig in het doelsysteem bevindt, waardoor het moeilijk te detecteren is voordat het wordt uitgevoerd.
  • Stealthy Loading: Malware kan technieken gebruiken om zichzelf in het geheugen te laden zonder naar de schijf te schrijven, waardoor het minder waarschijnlijk is dat het wordt gedetecteerd door op bestanden gebaseerde beveiligingsscans.
  • Dynamisch koppelen: Sommige malware maakt gebruik van dynamisch koppelen, wat betekent dat het alleen de noodzakelijke bibliotheken laadt wanneer het wordt uitgevoerd, waardoor het aantal verdachte bestanden of functies dat kan worden gedetecteerd, wordt verminderd.
  • Anti-analysetechnieken: Malware kan detecteren wanneer het in een sandbox of virtuele omgeving draait en zich in die situaties goedaardig gedragen, waardoor het voor onderzoekers moeilijker wordt om het gedrag ervan te analyseren.
  • Codeverduistering: Auteurs van malware kunnen hun code opzettelijk onleesbaar maken, waardoor het voor beveiligingsanalisten een uitdaging wordt om de logica en functionaliteit van de malware te begrijpen.
  • Bestandsloze malware: Sommige malware werkt volledig in het geheugen en laat geen sporen achter op het bestandssysteem, waardoor op handtekeningen gebaseerde detectiemethoden kunnen worden omzeild.

Tegen Zaib
October 26, 2023
Computer Security
Nederlands
October 26, 2023
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.