Новый инфостилер Acreed набирает популярность в русскоязычном киберпреступном сообществе

В ходе регулярного мониторинга угроз специалисты Intrinsec Security обнаружили 18 образцов нового вредоносного ПО под названием Acreed, которое быстро набирает популярность среди злоумышленников. Этот инфостилер, предназначенный для кражи конфиденциальных данных, впервые появился на Russian Market 14 февраля 2025 года в пакете логов, продававшемся под псевдонимом "Nu####ez". Название Acreed, вероятно, отсылает к известной видеоигре "Assassin’s Creed".

Описание

Согласно статистике предложений на подпольных форумах, с апреля 2025 года начался заметный отток преступников от ранее доминировавшего стилера Lumma, и Acreed стал основным бенефициаром этой миграции. Хотя Vidar и StealC также получили некоторую выгоду от этого перераспределения, их рост был менее значительным. Глобальная операция по ликвидации инфраструктуры Lumma в мае 2025 года, проведенная Europol и Microsoft, в ходе которой было изъято более 1300 доменов, еще больше ускорила этот процесс.

В настоящее время Acreed занимает третье место по популярности среди стилеров с долей рынка около 17%. Любопытно, что Lumma больше не является безоговорочным лидером и делит первую позицию с Rhadamanthys. Аналитики ReliaQuest оценили Acreed как "следующий крупный инфостилер", идеально positioned (расположенный) для быстрого роста, поскольку киберпреступники активно ищут альтернативы. Однако текущая ситуация указывает на то, что Acreed остается частным проектом, разработанным или заказанным единственным threat actor (угрозным актором) "Nu####ez". Без публичного распространения маловероятно, что он сможет в ближайшее время занять лидирующую позицию, которую ранее удерживал Lumma.

Технический анализ выявил несколько особенностей Acreed. Механизм получения C2 (Command and Control) доменов использует BNB Smartchain Testnet и платформу Steam в качестве dead drop resolvers (резолверов тайников). Исследователям удалось идентифицировать три C2 домена, используемых злоумышленниками, которые были расшифрованы с помощью XOR-ключей, найденных внутри образцов. Кроме того, был установлен реальный IP-адрес одного из C2 доменов, анализ которого показал, что он принадлежит инфраструктуре, пересекающейся с экосистемой Vidar. Это может указывать на возможные связи или заимствования между разными группами злоумышленников.

Были проанализированы несколько JS-файлов, которые взаимодействуют с C2 доменами для кражи криптовалют. Исследование логов Acreed, обнаруженных в дикой природе, показало, что они имеют небольшой размер - всего несколько килобайт, в отличие от логов Lumma, которые обычно занимают от 1 до 5 мегабайт. Трассировка одного из инцидентов позволила установить источник заражения - образец ShadowLoader. Согласно данным VirusTotal, этот образец сбрасывал два PE32-файла, которые оказались практически идентичными, с незначительной разницей в размере. Распаковка на unpac.me выявила легитимную Windows DLL, подписанную Microsoft - WebView2Loader.dll. Детальный анализ подтвердил, что эти образцы являются инфостилерами, и, хотя нельзя быть полностью уверенными, исследователи с высокой долей вероятности относят их к семейству Acreed.

Таким образом, Acreed представляет собой новую и активно развивающуюся угрозу, демонстрирующую тенденцию к усложнению механизмов сокрытия и использования нестандартных платформ для управления. Несмотря на ограниченное распространение в руках одного актора, его растущая доля на рынке требует повышенного внимания со стороны специалистов по безопасности. Сообщество продолжает наблюдать за развитием ситуации, чтобы оценить, сможет ли Acreed превзойти текущих лидеров или останется нишевым инструментом.