Akira ladrón
Akira es un malware que roba información disponible en un sitio web exclusivo y que funciona como malware como servicio (MaaS) bajo el nombre 'Akira Undetector'. Esta plataforma web ofrece una interfaz fácil de usar para generar nuevas instancias del binario ladrón, completa con instrucciones detalladas sobre cómo emplear el malware de manera efectiva. Hace uso de un canal de Telegram para actualizaciones y capacidades de comando y control.
Este malware versátil es capaz de extraer datos de navegadores web, incluidas las credenciales de inicio de sesión guardadas y la información de la tarjeta de pago. Además, realiza un escaneo exhaustivo de todo el sistema para recopilar varios puntos de datos, como nombres de usuario, identificadores del sistema, especificaciones de hardware, listados de software instalado y configuraciones de red. Posteriormente, la información robada se carga en la cuenta del actor de la amenaza en el servicio de gestión de almacenamiento en línea 'GoFile' y en su cuenta de mensajería instantánea de Discord.
Capacidades intrusivas observadas en Akira Stealer
Akira Stealer emplea un complejo proceso de infección con múltiples capas para ofuscar su código y eludir la detección. El actor de amenazas aprovecha varias plataformas para sus operaciones, incluido Telegram, un servidor de comando y control (C2) y GitHub. Además, el actor de amenazas afirma audazmente que su malware es "completamente indetectable" (FUD). Mantienen un canal de Telegram llamado 'Akira' con aproximadamente 358 suscriptores y ofrecen sus servicios a través de un dominio de malware como servicio.
Los investigadores realizaron un análisis de un archivo de Akira Stealer llamado '3989X_NORD_VPN_PREMIUM_HITS.txt.cmd'. Este archivo era un script CMD que contenía código ofuscado. Tras la ejecución, depositó un archivo por lotes oculto.bat en el directorio de trabajo actual, que también logró evadir la detección. Este archivo por lotes contenía un script de PowerShell ofuscado que integraba el archivo tmp.vbs para su ejecución mediante el proceso csscript.exe.
En términos de robo de datos, el malware crea una carpeta con el nombre de la PC comprometida para almacenar la información robada. Posteriormente, inicia la extracción de datos de varios navegadores web, incluidos Microsoft Edge, Google Chrome, Opera, Mozilla Firefox y otros 14 navegadores.
Además, el ladrón domina los datos financieros, incluidos los datos de tarjetas de crédito guardados y las credenciales de inicio de sesión. También recopila datos de marcadores, información de extensiones de billetera, capturas de pantalla y mucho más.
El malware que roba información puede tener graves consecuencias para las víctimas
Akira es un malware malicioso que roba información y opera según el modelo Malware-as-a-Service (MaaS), una forma particularmente peligrosa de malware capaz de infligir daños significativos tanto a organizaciones como a usuarios individuales. Se propaga activamente a través de un portal web dedicado y emplea un canal de Telegram para su distribución, al mismo tiempo que extrae discretamente una gran cantidad de datos confidenciales de los sistemas comprometidos, evadiendo la detección.
Los actores de amenazas adaptan continuamente sus técnicas para mantener la indetectabilidad a largo plazo, haciendo que su creación malévola sea versátil y proporcionándoles un control eficiente sobre los sistemas infectados. Las actualizaciones periódicas transmitidas a través del canal Telegram sirven para empoderar aún más a los ciberdelincuentes a la hora de llevar a cabo sus agendas maliciosas.
El enfoque más eficaz para protegerse contra Akira Stealer implica estar atento al tratar con enlaces sospechosos y archivos adjuntos de correo electrónico. Es imperativo que los usuarios reconozcan que incluso fuentes aparentemente confiables pueden servir como conductos para la infección y el robo de datos. Fortalecer la seguridad del sistema, la red y las aplicaciones puede mitigar sustancialmente el riesgo de infección. Igualmente vital es la utilización de software antimalware actualizado junto con políticas de seguridad organizativas adaptables para garantizar una protección sólida.
