Akira Stealer evita detecção
Akira, um malware de roubo de informações descoberto no início de 2023, tem a capacidade de roubar dados confidenciais, como detalhes de login salvos, informações de cartão de pagamento, nomes de usuário, identificação do sistema, especificações de hardware, software instalado e configurações de rede. Depois de extrair esses dados, ele os carrega para o ‘GoFile’, um serviço de armazenamento online, e para contas de mensagens Discord controladas pelo ator da ameaça. Conforme relatado exclusivamente ao Cyber Security News, o Akira Stealer emprega um processo de infecção em várias camadas para ocultar seu código e evitar a detecção.
O ator da ameaça também oferece serviços por meio do Telegram, um servidor C2 e GitHub. Além disso, afirmam que este malware é “Totalmente Indetectável” (FUD). Seu canal Telegram, “Akira”, possui atualmente 358 assinantes. Além disso, o agente da ameaça fornece um domínio de Malware como serviço em "https[:]//akira[.]red/."
Akira vem dentro de um script CMD
Para fins de análise, os pesquisadores obtiveram um arquivo de amostra denominado “3989X_NORD_VPN_PREMIUM_HITS.txt.cmd”. Este arquivo era um script CMD com código oculto e ofuscado. Notavelmente, conforme afirma o autor da ameaça, este arquivo passa despercebido pelo VirusTotal. Quando executado, ele coloca um arquivo em lote hidden.bat no diretório atual, que também é impermeável à detecção. Este arquivo contém um script PowerShell ofuscado que integra o arquivo em lote ao arquivo tmp.vbs para execução por meio do processo csscript.exe.
Em relação ao roubo de informações, o malware estabelece uma pasta com o nome do PC comprometido para armazenar os dados furtados. Posteriormente, inicia o roubo de informações de vários navegadores da web, incluindo Microsoft Edge, Google Chrome, Opera, Mozilla Firefox e 14 outros navegadores. Além disso, o malware é proficiente em direcionar dados financeiros, abrangendo detalhes de cartão de crédito e credenciais de login salvos, coletando marcadores e dados de extensão de carteira, capturando capturas de tela e muito mais.
Como o malware pode escapar da detecção?
O malware pode empregar várias técnicas para evitar a detecção por software de segurança e evitar o escrutínio de especialistas em segurança cibernética. Algumas dessas táticas de evasão incluem:
- Código polimórfico: o malware pode usar código polimórfico para alterar sua aparência cada vez que infecta um novo sistema. Isso torna difícil para o software antivírus baseado em assinatura identificá-lo e bloqueá-lo porque o código do malware está em constante mudança.
- Código Metamórfico: Semelhante ao código polimórfico, o código metamórfico se reescreve completamente a cada infecção, tornando sua detecção ainda mais difícil.
- Técnicas de rootkit: o malware pode usar técnicas de rootkit para ocultar sua presença em um sistema. Os rootkits manipulam o sistema operacional para ocultar arquivos, processos e entradas de registro do malware.
- Criptografia e codificação: o malware pode criptografar ou codificar seu código para torná-lo ilegível para software de segurança. Ele apenas descriptografa ou decodifica sua carga útil quando ela está seguramente dentro do sistema de destino, dificultando sua detecção antes da execução.
- Carregamento furtivo: o malware pode usar técnicas para carregar-se na memória sem gravar no disco, diminuindo a probabilidade de ser detectado por verificações de segurança baseadas em arquivos.
- Vinculação dinâmica: alguns malwares usam vinculação dinâmica, o que significa que ele carrega apenas as bibliotecas necessárias quando é executado, reduzindo o número de arquivos ou funções suspeitas que podem ser detectadas.
- Técnicas anti-análise: O malware pode detectar quando está sendo executado em uma sandbox ou ambiente virtual e se comportar de maneira benigna nessas situações, dificultando a análise de seu comportamento pelos pesquisadores.
- Ofuscação de código: os autores de malware podem ocultar intencionalmente seu código, dificultando a compreensão da lógica e da funcionalidade do malware pelos analistas de segurança.
- Malware sem arquivo: alguns malwares operam inteiramente na memória e não deixam rastros no sistema de arquivos, o que pode escapar dos métodos de detecção baseados em assinaturas.