《阿基拉》偷窃者逃避检测
Akira 是 2023 年初发现的一种信息窃取恶意软件,能够窃取敏感数据,例如保存的登录详细信息、支付卡信息、用户名、系统标识、硬件详细信息、安装的软件和网络配置。提取这些数据后,它将其上传到“GoFile”(一种在线存储服务)以及由威胁行为者控制的 Discord 消息帐户。据《网络安全新闻》独家报道,Akira Stealer 采用多层感染过程来隐藏其代码并逃避检测。
威胁行为者还通过 Telegram、C2 服务器和 GitHub 提供服务。此外,他们断言该恶意软件“完全无法检测”(FUD)。他们的 Telegram 频道“Akira”目前拥有 358 名订阅者。此外,威胁行为者在“https[:]//akira[.]red/”处提供恶意软件即服务域。
Akira 进入 CMD 脚本
出于分析目的,研究人员获得了一个名为“3989X_NORD_VPN_PREMIUM_HITS.txt.cmd”的示例文件。该文件是一个 CMD 脚本,其中包含隐藏的、混淆的代码。值得注意的是,正如威胁行为者声称的那样,VirusTotal 没有注意到该文件。执行时,它将隐藏的.bat批处理文件放入当前目录中,该目录也无法被检测到。此文件包含一个混淆的 PowerShell 脚本,该脚本将批处理文件与 tmp.vbs 文件集成,以便通过 csscript.exe 进程执行。
关于信息盗窃,恶意软件会建立一个以受感染电脑命名的文件夹来存储窃取的数据。随后,它开始从各种网络浏览器窃取信息,包括 Microsoft Edge、Google Chrome、Opera、Mozilla Firefox 和其他 14 种浏览器。此外,该恶意软件擅长针对财务数据,包括保存的信用卡详细信息和登录凭据、收集书签和钱包扩展数据、捕获屏幕截图等。
恶意软件如何逃避检测?
恶意软件可以采用各种技术来逃避安全软件的检测并逃避网络安全专家的审查。其中一些规避策略包括:
- 多态代码:恶意软件可以使用多态代码在每次感染新系统时更改其外观。这使得基于签名的防病毒软件很难识别和阻止它,因为恶意软件的代码不断变化。
- 变质代码:与多态代码类似,变质代码在每次感染时都会完全重写自身,这使得检测起来更加困难。
- Rootkit 技术:恶意软件可以使用 Rootkit 技术来隐藏其在系统上的存在。 Rootkit 操纵操作系统来隐藏恶意软件的文件、进程和注册表项。
- 加密和编码:恶意软件可以对其代码进行加密或编码,使其无法被安全软件读取。它只有在安全进入目标系统后才会解密或解码其有效负载,这使得在执行之前很难检测到。
- 秘密加载:恶意软件可能会使用技术将自身加载到内存中而不写入磁盘,从而使其不太可能被基于文件的安全扫描检测到。
- 动态链接:某些恶意软件使用动态链接,这意味着它在执行时仅加载必要的库,从而减少了可检测到的可疑文件或函数的数量。
- 反分析技术:恶意软件可以检测它何时在沙箱或虚拟环境中运行,并在这些情况下表现良好,从而使研究人员更难分析其行为。
- 代码混淆:恶意软件作者可以故意模糊其代码,从而使安全分析师难以理解恶意软件的逻辑和功能。
- 无文件恶意软件:某些恶意软件完全在内存中运行,不会在文件系统上留下痕迹,这可以逃避基于签名的检测方法。