Nova strategija hakera: Pazite dok koristite ove platforme - podaci možda cure

Malveri ove vrste su veoma opasni jer rade diskretno u pozadini, što njihovo otkrivanje čini posebno izazovnim. Oni su dizajnirani tako da sa zaraženog sistema izvuku osetljive informacije, kao što su lozinke, brojevi kreditnih kartica, istorija pretrage i druge vredne informacije i pošalju ih sajber kriminalcima.

Infokradljivci se obično infiltriraju u sisteme preko phishing imejlova, zlonamernih priloga ili kompromitovanih veb sajtova. Često su maskirani u ilegalne programe kao što su krekovi i ključevi.

Najpoznatiji takav malver je LummaC2, koji se prvi put pojavio u avgustu 2022., kao malware-as-service (malver kao usluga). On krade podataka iz pretraživača, uključujući podatke za prijavljivanje, kolačiće, automatsko popunjavanje i podatke o ekstenzijama pretraživača.

Pored LummaC2, poslednjih meseci povećana je distribucija još jednog sličnog malvera poznatog kao ACRStealer, koji se prvi put pojavio sredinom 2024. godine. ACR Stealer koji je dizajniran za krađu podataka, prodaje se takođe kao malware-as-a-service (MaaS) na ruskim hakerskim forumima.

Malver može da prikuplja sistemske informacije, sačuvane podatke za prijavljivanje, kolačiće veb pretraživača, novčanike kriptovaluta i konfiguracione fajlove za različite programe.

Umesto u malveru kodirane C2 adrese, da bi se izbegao otkrivanje ACRStealer je čuva i distribuira koristeći legitimne platforme, kao što je Google Docs. Napadači kodiraju C2 domen u Base64, a malver ga preuzima i dekodira da bi izvršio zlonamerne radnje. Ovaj metod se zove Dead Drop Resolver (DDR). Pored Google Docs, ACRStealer je kao C2 posrednika koristio Steam i telegra.ph.

ACRStealer krade širok spektar informacija, uključujući podatke pretraživača, tekstualne fajlove, FTP kredencijale, logove ćaskanja, imejlove, podatke programa za daljinski pristup, VPN informacije, menadžere lozinki, baze podataka i podatke ekstenzija pretraživača.

Autor: Aleksandra Aras