Złodziej Akira unika wykrycia

Akira, złośliwe oprogramowanie kradnące informacje odkryte na początku 2023 r., może wykradać wrażliwe dane, takie jak zapisane dane logowania, dane karty płatniczej, nazwy użytkowników, dane identyfikacyjne systemu, specyfikacje sprzętu, zainstalowane oprogramowanie i konfiguracje sieci. Po wyodrębnieniu tych danych przesyła je do „GoFile”, usługi przechowywania danych online oraz do kont komunikatorów Discord kontrolowanych przez cyberprzestępcę. Jak doniesiono wyłącznie dla Cyber Security News, Akira Stealer wykorzystuje wielopoziomowy proces infekcji w celu ukrycia swojego kodu i uniknięcia wykrycia.

Osoba zagrażająca oferuje również usługi za pośrednictwem Telegramu, serwera C2 i GitHuba. Ponadto twierdzą, że to złośliwe oprogramowanie jest „w pełni niewykrywalne” (FUD). Ich kanał na Telegramie „Akira” ma obecnie 358 subskrybentów. Ponadto ugrupowanie zagrażające udostępnia domenę złośliwego oprogramowania jako usługi pod adresem „https[:]//akira[.]red/”.

Akira wchodzi do skryptu CMD

Do celów analizy badacze uzyskali przykładowy plik o nazwie „3989X_NORD_VPN_PREMIUM_HITS.txt.cmd”. Ten plik był skryptem CMD z ukrytym, zaciemnionym kodem. Warto zauważyć, że jak twierdzi podmiot zagrażający, plik ten pozostaje niezauważony przez VirusTotal. Po uruchomieniu upuszcza plik wsadowy hided.bat do bieżącego katalogu, który również jest odporny na wykrycie. Ten plik zawiera zaciemniony skrypt PowerShell, który integruje plik wsadowy z plikiem tmp.vbs w celu wykonania za pośrednictwem procesu csscript.exe.

Jeśli chodzi o kradzież informacji, szkodliwe oprogramowanie tworzy folder nazwany na cześć zaatakowanego komputera, w którym przechowuje skradzione dane. Następnie rozpoczyna kradzież informacji z różnych przeglądarek internetowych, w tym Microsoft Edge, Google Chrome, Opera, Mozilla Firefox i 14 innych przeglądarek. Co więcej, szkodliwe oprogramowanie jest skuteczne w atakowaniu danych finansowych, obejmujących zapisane dane karty kredytowej i dane logowania, zbieranie zakładek i danych rozszerzeń portfela, przechwytywanie zrzutów ekranu i nie tylko.

W jaki sposób złośliwe oprogramowanie może uniknąć wykrycia?

Złośliwe oprogramowanie może wykorzystywać różne techniki, aby uniknąć wykrycia przez oprogramowanie zabezpieczające i uniknąć kontroli ekspertów ds. cyberbezpieczeństwa. Niektóre z tych taktyk unikania obejmują:

  • Kod polimorficzny: Złośliwe oprogramowanie może używać kodu polimorficznego do zmiany swojego wyglądu za każdym razem, gdy infekuje nowy system. Utrudnia to oprogramowaniu antywirusowemu opartemu na sygnaturach jego identyfikację i blokowanie, ponieważ kod złośliwego oprogramowania stale się zmienia.
  • Kod metamorficzny: podobnie jak kod polimorficzny, kod metamorficzny całkowicie zapisuje się na nowo przy każdej infekcji, co jeszcze bardziej utrudnia wykrycie.
  • Techniki rootkitów: Złośliwe oprogramowanie może wykorzystywać techniki rootkitów w celu ukrycia swojej obecności w systemie. Rootkity manipulują systemem operacyjnym, aby ukryć pliki, procesy i wpisy rejestru szkodliwego oprogramowania.
  • Szyfrowanie i kodowanie: Złośliwe oprogramowanie może szyfrować lub kodować swój kod, aby uczynić go nieczytelnym dla oprogramowania zabezpieczającego. Odszyfrowuje lub dekoduje swój ładunek dopiero wtedy, gdy znajdzie się bezpiecznie w systemie docelowym, co utrudnia wykrycie go przed wykonaniem.
  • Ukryte ładowanie: złośliwe oprogramowanie może wykorzystywać techniki ładowania się do pamięci bez zapisywania na dysku, co zmniejsza prawdopodobieństwo wykrycia go przez skanowanie bezpieczeństwa oparte na plikach.
  • Łączenie dynamiczne: niektóre złośliwe oprogramowanie wykorzystuje łączenie dynamiczne, co oznacza, że podczas wykonywania ładuje tylko niezbędne biblioteki, zmniejszając liczbę podejrzanych plików lub funkcji, które można wykryć.
  • Techniki zapobiegające analizie: złośliwe oprogramowanie może wykryć, kiedy działa w piaskownicy lub środowisku wirtualnym, i zachowuje się łagodnie w takich sytuacjach, co utrudnia badaczom analizę jego zachowania.
  • Zaciemnianie kodu: autorzy złośliwego oprogramowania mogą celowo zaciemniać swój kod, co utrudnia analitykom bezpieczeństwa zrozumienie logiki i funkcjonalności złośliwego oprogramowania.
  • Złośliwe oprogramowanie bezplikowe: niektóre złośliwe oprogramowanie działają całkowicie w pamięci i nie pozostawiają śladów w systemie plików, co może ominąć metody wykrywania oparte na sygnaturach.

Do Zaib
October 26, 2023
Computer Security
Polski
October 26, 2023
Computer Security

Popularne posty

Microsoft ostrzega, że urzędnicy wspierani przez państwo...

5 days temu

Wykrywanie złośliwego oprogramowania Trojan Al11

11 months temu

Wyskakujące okienka „Twój iCloud został zhakowany” i „Twój...

7 months temu

Pinaview to w pełni funkcjonalna aplikacja adware

10 months temu

Co to jest Lucky Ransomware?

7 months temu

Oszustwo e-mailowe „American Express – zaktualizuj informacje...

6 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.