Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Acreed-Dieb

Acreed-Dieb

Von Mezo in Malware, Diebe
Übersetzen Sie in:

Acreed ist ein moderner Datendiebstahler, der sich schnell zu einem der am weitesten verbreiteten Programme entwickelt hat. Da er gezielt auf Anmeldeinformationen, Browser-Artefakte, Messaging-Apps und Kryptowährungs-Wallets abzielt, kann eine einzige erfolgreiche Infektion zu Anmeldeinformationen-Diebstahl, entführten Krypto-Transfers, Kontoübernahmen und langfristiger Verschleppung auf dem Computer des Opfers führen. Der Schutz von Endpunkten und Benutzerverhalten ist daher von entscheidender Bedeutung: Sobald vertrauliche Daten ein Gerät verlassen, ist eine vollständige Wiederherstellung oft unmöglich.

Acreed hat es auf hochwertige digitale Vermögenswerte abgesehen

Acreed konzentriert sich auf Daten, die einen unmittelbaren Geldwert haben oder eine Kontoübernahme ermöglichen:

  • gespeicherte Passwörter, Cookies und AutoFill-Einträge aus Browsern (Brave, Chrome, Edge),
  • browserbasierte und systembasierte Kryptowährungs-Wallets (sowohl vollständige Client- als auch Erweiterungs-Wallets),
  • Kreditkartendaten und Daten aus Messaging-Apps, die für Betrug oder Social Engineering missbraucht werden können.

Acreed sucht aktiv nach einer breiten Palette von Wallet-Software und Browser-Erweiterungen, darunter (aber nicht beschränkt auf) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink und Trust. Durch die Auflistung sowohl installierter Anwendungen als auch der Browser-Erweiterungsordner maximiert es die Wahrscheinlichkeit, Schlüssel, Seed-Phrasen, private JSON-Dateien oder anderes Wallet-Material zu finden.

Funktionsweise der Malware

Acreed wird normalerweise über einen Loader (ShadowLoader) bereitgestellt und folgt einem mehrstufigen Injektions- und Sammlungsmodell:

  • ShadowLoader legt zwei PE-Dateien ab, die mit einer legitimen WebView2-DLL umschlossen sind. Dieser legitime Wrapper hilft dem Loader, einfache Erkennungs- und Signaturprüfungen zu umgehen.
  • Sobald Acreed ausgeführt wird, listet es die „Benutzerdaten“-Verzeichnisse des Browsers auf (Lesezeichen, Verlauf, Cookies, Cache, Erweiterungen, AutoFill und gespeicherte Anmeldeinformationen) und sucht nach Wallet-Dateien und Erweiterungsdaten.
  • Es sammelt Daten von Messaging-Apps und andere persönliche Dateien, die für Folgeangriffe missbraucht werden können.
  • Entscheidend ist, dass Acreed über Funktionen zur Transaktionsentführung verfügt: Es kann auf Webseiten angezeigte Wallet-Adressen ersetzen, QR-Codes ändern, Inhalte aus der Zwischenablage ersetzen und eingegebene/übermittelte Wallet-Adressen erfassen – alles mit dem Ziel, Gelder in von Angreifern kontrollierte Wallets umzuleiten.

Ungewöhnliche Command-and-Control-Techniken (C2)

Acreed verwendet atypische öffentliche Quellen für die Konfiguration und C2, was dabei hilft, legitimen Datenverkehr mit bösartigen Signalen zu vermischen:

  • Einige Beispiele rufen C2-Informationen aus einem Smart Contract ab, der im BNB Smart Chain Testnet bereitgestellt wird.
  • Andere Beispiele verwenden öffentliche Posts auf Plattformen wie Steam, um Steuerdaten zu kodieren.
    Diese Techniken machen die C2-Erkennung anspruchsvoller und erschweren Erkennungsregeln, die sich nur auf klassische C2-Domänen konzentrieren.

Angreifer, die Acreed verbreiten, nutzen ein breites Toolkit an Infektionswegen:
Raubkopien und gecrackte Installationsprogramme, Malvertising, Betrug beim technischen Support, E-Mail-Anhänge und schädliche Links, Update- und Downloadprogramme von Drittanbietern, P2P-Netzwerke, infizierte USB-Geräte und die Ausnutzung ungepatchter Software. Diese Bandbreite bedeutet, dass Benutzer sowohl durch direktes Phishing als auch durch alltägliche riskante Downloads gefährdet sein können.

Warum Acreed gefährlich ist

Acreed kombiniert gezielte Angriffe auf Krypto-Wallets mit breit angelegtem Browser- und Messaging-Datendiebstahl. Es nutzt einen getarnten mehrstufigen Loader und unkonventionelle C2-Kanäle, um die Erkennung zu erschweren. Die Fähigkeit, Transaktionen zu kapern (Webseiten-, QR- und Zwischenablagemanipulation), führt zu nahezu sofortigem finanziellen Verlust. Prävention und schnelle Eindämmung sind daher unerlässlich. Verstärken Sie die Endpunktkontrollen, reduzieren Sie die Anzahl der gespeicherten Geheimnisse und behandeln Sie jede bestätigte Infektion als dringenden Vorfall.

Im Trend

Am häufigsten gesehen

Wird geladen...