Acrid - это новый похититель, обнаруженный в декабре прошлого года. Несмотря на название, он не имеет ничего общего с крадником AcridRain. Acrid написан на языке C++ для 32-битной системы, несмотря на то, что большинство систем в наши дни являются 64-битными. При ближайшем рассмотрении вредоносной программы стала понятна причина компиляции под 32-битную среду: автор решил использовать технику «Небесные врата». Это позволяет 32-битным приложениям получить доступ к 64-битному пространству, чтобы обойти определенные средства контроля безопасности.
С точки зрения функциональности, вредоносная программа реализует типичный функционал, который можно ожидать от крадущей программы:
- Кража данных браузера (куки, пароли, логины, информация о кредитных картах и т. д.);
- Кража локальных криптовалютных кошельков;
- Кража файлов с определенными именами (например, wallet.dat, password.docx и т. д.);
- кража учетных данных из установленных приложений (FTP-менеджеров, мессенджеров и т. д.).
Собранные данные упаковываются в zip-архив и отправляются на C2.
Вредоносная программа относится к среднему уровню сложности. Она имеет определенную степень сложности, например, шифрование строк, но не обладает какими-либо инновационными функциями.
Indicators of Compromise
MD5
- 2b71c81c48625099b18922ff7bebbf51
- abceb35cf20f22fd8a6569a876e702cb
- b9b83de1998ebadc101ed90a6c312da8