Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Acreed Stealer

Acreed Stealer

Por Mezo en Software malicioso, Ladrones
Traducir a:

Acreed es un ladrón de información moderno que se ha consolidado rápidamente entre los más extendidos. Dado que ataca específicamente credenciales, artefactos del navegador, aplicaciones de mensajería y monederos de criptomonedas, una sola infección exitosa puede provocar el robo de credenciales, el secuestro de transferencias de criptomonedas, el robo de cuentas y la persistencia a largo plazo en el equipo de la víctima. Por lo tanto, proteger los endpoints y el comportamiento del usuario es fundamental: una vez que los datos confidenciales salen de un dispositivo, a menudo es imposible recuperarlos por completo.

Acreed busca activos digitales de alto valor

Acreed se centra en datos que tienen valor monetario inmediato o permiten el control de cuentas:

  • contraseñas guardadas, cookies y entradas de autocompletar de los navegadores (Brave, Chrome, Edge),
  • Carteras de criptomonedas basadas en navegador y de sistema (tanto carteras de cliente completas como carteras de extensión),
  • datos de tarjetas de crédito y datos de aplicaciones de mensajería que pueden usarse indebidamente para realizar fraudes o ingeniería social.

Acreed busca activamente una amplia gama de software de billetera y extensiones de navegador, incluyendo (entre otros) ArgentX, Binance, Coinbase, Crypto.com, Kasware, Martian, MetaMask, OKX, Phantom, Rabby, ReadyWallet, Ronin, Sui, ToonKeeper, TronLink y Trust. Al enumerar tanto las aplicaciones instaladas como las carpetas de extensiones de navegador, maximiza la probabilidad de encontrar claves, frases semilla, archivos JSON privados u otro material de billetera.

Cómo funciona el malware

Acreed generalmente se entrega a través de un cargador (ShadowLoader) y sigue un modelo de inyección y recolección de múltiples etapas:

  • ShadowLoader elimina dos archivos PE que están envueltos con una DLL WebView2 legítima: este envoltorio legítimo ayuda al cargador a evadir la detección simple y las verificaciones de firma.
  • Una vez que Acreed se ejecuta, enumera los directorios de 'Datos de usuario' del navegador (marcadores, historial, cookies, caché, extensiones, autocompletar y credenciales guardadas) y busca archivos de billetera y datos de extensión.
  • Recopila datos de aplicaciones de mensajería y otros archivos personales que pueden usarse indebidamente en ataques posteriores.
  • Fundamentalmente, Acreed incluye capacidades de secuestro de transacciones: puede reemplazar direcciones de billetera que se muestran en páginas web, alterar códigos QR, sustituir contenidos del portapapeles y capturar direcciones de billetera ingresadas/enviadas, todo con el objetivo de desviar fondos a billeteras controladas por atacantes.

Técnicas inusuales de mando y control (C2)

Acreed utiliza fuentes públicas atípicas para la configuración y C2, lo que le ayuda a combinar tráfico legítimo con señales maliciosas:

  • Algunas muestras recuperan información C2 de un contrato inteligente implementado en la red de prueba BNB Smart Chain.
  • Otros ejemplos utilizan publicaciones públicas en plataformas como Steam para codificar datos de control.
    Estas técnicas hacen que el descubrimiento de C2 sea más desafiante y complican las reglas de detección que se centran solo en los dominios C2 clásicos.

Los atacantes que distribuyen Acreed emplean un amplio conjunto de rutas de infección:
Software pirateado e instaladores pirateados, publicidad maliciosa, estafas de soporte técnico, archivos adjuntos de correo electrónico y enlaces maliciosos, actualizadores y descargadores de terceros, redes P2P, dispositivos USB infectados y explotación de software sin parches. Esta variedad implica que los usuarios pueden quedar expuestos tanto a través del phishing directo como de las descargas cotidianas de alto riesgo.

¿Por qué Acreed es peligroso?

Acreed combina la focalización en monederos de criptomonedas con el robo generalizado de datos de navegadores y mensajería, y utiliza un cargador sigiloso de múltiples etapas y canales C2 no convencionales para dificultar la detección. Su capacidad para secuestrar transacciones (manipulación de páginas web, QR y portapapeles) convierte los datos robados en pérdidas financieras casi inmediatas, lo que hace esencial la prevención y la contención rápida. Refuerce los controles de endpoints, reduzca los secretos almacenados y trate cualquier infección confirmada como un incidente de alta urgencia.

Tendencias

Mas Visto

Cargando...