アキラ・スティーラー

Akira は、専用 Web サイトで入手可能な情報窃取マルウェアで、「Akira Undetector」という名前で Malware-as-a-Service (MaaS) として動作します。この Web プラットフォームは、スティーラー バイナリの新しいインスタンスを生成するための使いやすいインターフェイスと、マルウェアを効果的に使用する方法に関する詳細な手順を提供します。 Telegram チャネルを利用して更新とコマンドアンドコントロール機能を実行します。

この多用途のマルウェアは、保存されているログイン認証情報や支払いカード情報などのデータを Web ブラウザから抽出することに熟達しています。さらに、システム全体の徹底的なスキャンを実行して、ユーザー名、システム識別子、ハードウェア仕様、インストールされているソフトウェアのリスト、ネットワーク構成などのさまざまなデータ ポイントを収集します。盗まれた情報はその後、「GoFile」オンライン ストレージ管理サービス上の攻撃者のアカウントと、Discord インスタント メッセージング アカウントにアップロードされます。

Akira Stealer で観察された侵入機能

Akira Stealer は、コードを難読化して検出を回避するために、複数のレイヤーによる複雑な感染プロセスを採用しています。脅威アクターは、Telegram、コマンド アンド コントロール (C2) サーバー、GitHub など、さまざまなプラットフォームを操作に利用します。さらに、この攻撃者は、自分たちのマルウェアは「完全に検出不可能」(FUD) であると大胆に主張しています。彼らは、約 358 人の加入者を持つ「Akira」という名前の Telegram チャネルを維持しており、Malware-as-a-Service ドメインを通じてサービスを提供しています。

研究者らは、「3989X_NORD_VPN_PREMIUM_HITS.txt.cmd」という名前の Akira Stealer ファイルの分析を実施しました。このファイルは、難読化されたコードを含む CMD スクリプトでした。実行すると、hidden.bat バッチ ファイルが現在の作業ディレクトリに配置され、これも検出を回避することに成功しました。このバッチ ファイルには、csscript.exe プロセスを使用して実行するために tmp.vbs ファイルを統合した難読化された PowerShell スクリプトが含まれていました。

データの盗難に関しては、マルウェアは侵害された PC の名前を持つフォルダーを作成し、盗んだ情報を保存します。その後、Microsoft Edge、Google Chrome、Opera、Mozilla Firefox、その他 14 のブラウザを含むさまざまな Web ブラウザからのデータ抽出を開始します。

さらに、この窃盗者は、保存されているクレジット カードの詳細やログイン資格情報を含む財務データをターゲットにすることに熟達しています。また、ブックマーク データ、ウォレット拡張機能情報、スクリーンショットのキャプチャなども収集します。

情報を盗むマルウェアは被害者に重大な結果をもたらす可能性がある

Akira は、MaaS (Malware-as-a-Service) モデルで動作する悪意のある情報窃取マルウェアであり、組織と個人ユーザーの両方に重大な損害を与える可能性のある特に危険な形式のマルウェアです。このウイルスは、専用の Web ポータルを通じて積極的に伝播され、配布には Telegram チャネルを使用し、同時に侵害されたシステムから大量の機密データを慎重に抽出し、検出を回避します。

脅威アクターは、長期的な検出不可能性を維持するために技術を継続的に適応させ、悪意のある作成物を多用途にし、感染したシステムを効率的に制御できるようにします。 Telegram チャネルを通じて定期的に更新が伝えられることで、サイバー犯罪者が悪意のある目的を追求できるようになります。

Akira Stealer から身を守るための最も効果的なアプローチには、不審なリンクや電子メールの添付ファイルを扱うときに警戒することが含まれます。一見信頼できるソースであっても、感染やデータ盗難の経路となる可能性があることをユーザーが認識することが不可欠です。システム、ネットワーク、アプリケーションのセキュリティを強化すると、感染のリスクを大幅に軽減できます。堅牢な保護を確保するには、最新のマルウェア対策ソフトウェアを適応的な組織セキュリティ ポリシーと組み合わせて利用することも同様に重要です。