Akira Voleur

Akira est un malware voleur d'informations disponible sur un site Web dédié, fonctionnant comme un Malware-as-a-Service (MaaS) sous le nom « Akira Undetector ». Cette plate-forme Web offre une interface conviviale pour générer de nouvelles instances du binaire voleur, accompagnée d'instructions détaillées sur la façon d'utiliser efficacement le malware. Il utilise un canal Telegram pour les mises à jour et les capacités de commande et de contrôle.

Ce malware polyvalent est capable d'extraire des données des navigateurs Web, y compris les informations de connexion enregistrées et les informations de carte de paiement. De plus, il effectue une analyse approfondie à l'échelle du système pour collecter divers points de données, tels que les noms d'utilisateur, les identifiants système, les spécifications matérielles, les listes de logiciels installés et les configurations réseau. Les informations volées sont ensuite téléchargées sur le compte de l'acteur malveillant sur le service de gestion de stockage en ligne « GoFile » et sur son compte de messagerie instantanée Discord.

Capacités intrusives observées dans Akira Stealer

Akira Stealer utilise un processus d'infection complexe comportant plusieurs couches pour obscurcir son code et échapper à la détection. L'acteur malveillant exploite diverses plates-formes pour ses opérations, notamment Telegram, un serveur de commande et de contrôle (C2) et GitHub. De plus, l'auteur de la menace affirme avec audace que son malware est « totalement indétectable » (FUD). Ils gèrent une chaîne Telegram nommée « Akira » avec environ 358 abonnés et proposent leurs services via un domaine Malware-as-a-Service.

Les chercheurs ont effectué une analyse d'un fichier Akira Stealer nommé « 3989X_NORD_VPN_PREMIUM_HITS.txt.cmd ». Ce fichier était un script CMD contenant du code obscurci. Lors de son exécution, il a déposé un fichier batch Hidden.bat dans le répertoire de travail actuel, qui a également réussi à échapper à la détection. Ce fichier batch contenait un script PowerShell obscurci qui intégrait le fichier tmp.vbs pour une exécution à l'aide du processus csscript.exe.

En termes de vol de données, le malware crée un dossier portant le nom du PC compromis pour stocker les informations volées. Par la suite, il lance l'extraction de données à partir de divers navigateurs Web, notamment Microsoft Edge, Google Chrome, Opera, Mozilla Firefox et 14 autres navigateurs.

De plus, le voleur maîtrise parfaitement le ciblage des données financières, notamment les informations de carte de crédit enregistrées et les identifiants de connexion. Il rassemble également des données de signets, des informations sur les extensions de portefeuille, capture des captures d'écran et bien plus encore.

Les logiciels malveillants voleurs d'informations peuvent avoir de graves conséquences pour les victimes

Akira est un logiciel malveillant voleur d'informations fonctionnant sur le modèle Malware-as-a-Service (MaaS), une forme de logiciel malveillant particulièrement périlleuse capable d'infliger des dommages importants aux organisations et aux utilisateurs individuels. Il se propage activement via un portail Web dédié et utilise un canal Telegram pour la distribution, tout en exfiltrant discrètement une multitude de données sensibles des systèmes compromis, échappant ainsi à toute détection.

Les auteurs de menaces adaptent continuellement leurs techniques pour maintenir leur indétectabilité à long terme, rendant ainsi leur création malveillante polyvalente et leur offrant un contrôle efficace sur les systèmes infectés. Les mises à jour régulières transmises via le canal Telegram permettent aux cybercriminels de poursuivre leurs programmes malveillants.

L'approche la plus efficace pour se protéger contre Akira Stealer consiste à faire preuve de vigilance lorsqu'il s'agit de liens suspects et de pièces jointes aux e-mails. Il est impératif que les utilisateurs reconnaissent que même des sources apparemment dignes de confiance peuvent servir de vecteur d'infection et de vol de données. Renforcer la sécurité du système, du réseau et des applications peut considérablement atténuer le risque d’infection. L’utilisation d’un logiciel anti-malware à jour en conjonction avec des politiques de sécurité organisationnelles adaptatives est tout aussi vitale pour garantir une protection solide.