Acreed infostealer
Intrinsec Equipe CTI elemzése szerint az Acreed egy feltörekvő infostealer, amelyből eddig 18 minta került elő, és működése több szempontból is innovatív, a C2-címek feloldásához nem csak hagyományos DNS-t használ, hanem a BNB Smart Chain Testnet tranzakcióit és a Steam platformot dead-drop megoldásként hívja le, így a vezérlők elrejtése és dinamikus megváltoztatása nehezebb.
A vizsgálat három C2-domaint tudott kinyerni a mintákba ágyazott XOR-kulcsokból, és az egyik domain mögötti valódi IP cím feltárása alapján az infrastruktúra átfedést mutat a korábban ismert Vidar-ökoszisztémával, ami operatív újrafelhasználásra vagy közös szolgáltatási láncra utal.
A mintákhoz tartozó JavaScript fájlok elemzése arra utal, hogy a malware célzottan kriptopénzek lopására is be van állítva: tárcák, tranzakciós adatok és azokat kiszolgáló webes komponensek hibáit használja ki az exfiltrációhoz.
A modern stealerek kombinálják a blokklánc-alapú és közösségi platformokat az irányítás elrejtésére, miközben ismert bűnözői infrastruktúrákhoz kapcsolódnak — ez pedig kiemeli a hálózati anomáliák, a nem megszokott DNS-feloldások és a kripto-jellegű JS-forgalom monitorozásának fontosságát a védelemben.
