ACRStealer еволюира в супервирус, който краде всичко – от документи до пароли
Той се крие в сянката на HTTPS и даже криптирането не може да се оправи с неговата лакомия...
Емил Василев преди 31 секунди 0 СподелиНай-четени
IT НовиниДаниел Десподов - 9:39 | 23.07.2025Когато вашият електромер се трансформира в инструмент за всеобщо наблюдаване
IT НовиниДаниел Десподов - 9:03 | 24.07.2025Животът може да е неминуем. Експеримент потвърди, че той независимо се заражда от хаоса
IT НовиниДаниел Десподов - 9:09 | 22.07.2025Мислехме, че телепортацията е научна фантастика, само че китайците към този момент изпращат фотони през телекомите
Емил Василевhttps://www.kaldata.com/Известният злоумишлен инструмент за кражба на информация ACRStealer още веднъж е в центъра на вниманието заради поредност от усъвършенствания, които доста са подобрили устойчивостта му на разкриване и разбор. Активността на зловредния програмен продукт се е нараснала доста от началото на тази година, а последните му версии демонстрират бърза акомодация към новите отбрани.
Първоначално AhnLab Security Intelligence Center откри, че ACRStealer употребява техниката Dead Drop Resolver – необикновен способ за надзор, учреден на потреблението на законни платформи като Гугъл Docs и Steam като сървъри за командване и ръководство. Тази тактичност разрешава на нападателите да скрият инфраструктурата за надзор зад фасадата на законен трафик. Разработката обаче не спря дотук – с всяка последваща итерация ACRStealer придобиваше все по-сложни техники, които затрудняваха откриването и не позволяваха механически разбор.
Основната цел на ACRStealer остава непроменена: събиране на чувствителни данни от инфектирани устройства.
Той е кадърен да краде данни от браузъри, криптопортфейли, имейл клиенти, FTP сметки, облачни складове, бележки, мениджъри на пароли, бази данни, отдалечени достъпи и даже документи в разнообразни формати – от DOC и TXT до PDF. Последните модификации обаче включват и опция за инсталиране на спомагателен злотворен програмен продукт, което прави зловредния програмен продукт изключително рисков като част от сложна офанзива.
Едно от най-интересните нововъведения е внедряването на технологията Heaven’s Gate. Тя разрешава стартирането на 64-битов код в процесите WoW64, предопределени за 32-битови приложения.
Това доста затруднява статичния и динамичния разбор, а също по този начин подкопава работата на сигнатурните антивирусни решения, защото изкривява нормалните потоци на осъществяване на кода.
За разлика от множеството сходни стратегии, които разчитат на общоприети мрежови библиотеки като WinHTTP или Winsock, новата версия на ACRStealer взаимодейства непосредствено със систематичния драйвер AFD, употребявайки NTAPI функционалности от ниско равнище, като NtCreateFile и NtDeviceIoControlFile. Това му разрешава ръчно да образува структури на HTTP-заявки и изцяло да заобикаля мониторинга на равнище библиотеки, в това число прекачване и замяна на повиквания. Тази архитектура е въодушевена от плана с отворен код NTSockets, който обезпечава висока степен на непрозрачност по време на мрежовото взаимоотношение.
За да усложнят още повече разбора, създателите на ACRStealer започнаха да вкарват подправени домейни в заглавията на HTTP-заявките, замествайки същинските IP-адреси с имена като microsoft.com, avast.com, google.com и даже pentagon.com.
Подобно маскиране обърква системите за разбор, в това число известни услуги като VirusTotal, които в отчетите си могат да покажат единствено подправен домейн, а не същинския злоумишлен възел — да вземем за пример, IP 85.208.139.75.
От позиция на конфигурацията, криптирането остава същото: първо данните се кодират в Base64, след което се криптират с RC4 логаритъм с закрепен ключ „ 852149723x00 “. Предаването на данни с командния сървър се реализира посредством HTTP или HTTPS, което разрешава на атакуващите да се приспособят към инфраструктурата на жертвата. В новите версии се появи поддръжка на самоподписани TLS-сертификати, което освобождава злоумишлениците от зависимостта от облачни платформи и улеснява подмяната на домейни.
Допълнително е въведен по-защитен протокол за продан на данни, при който натоварването се криптира с логаритъм AES-256 в режим CBC с твърдо заложен ключ и инициализационен вектор. Такива криптирани данни са съпроводени от префикса „ enc_ “ в URL адреса, което разрешава на зловредния програмен продукт да разграничава старите версии на сървърите от новите.
ACRStealer също по този начин се отхвърли от закрепените пътища, заменяйки ги с динамично генерирани инцидентни низове, получени по време на първичното здрависване с C2-сървъра. Конфигурационните поръчки в този момент се изпращат посредством POST, а не GET, и съдържат JSON конструкция. Тази мярка понижава успеваемостта на разбора, основан на шаблони на трафика, и покачва устойчивостта към блокировки.
Разпространението на новите модификации на ACRStealer акцентира все по-изтънчения темперамент на киберзаплахите, където всяка нова версия на зловредния програмен продукт е стъпка към още по-дълбоко внедряване и незабележимо кражба на данни.
