Pojavila se sofisticirana nova varijanta malicioznog softvera za krađu informacija ACRStealer, koja demonstrira napredne tehnike izbjegavanja i koristi legitimne platforme za tajne operacije komandovanja i kontrole.
Maliciozni softver, koji se aktivno distribuiše od početka 2024. godine, predstavlja značajnu evoluciju u taktikama sajber kriminala iskorištavajući Google dokumente i Steam platformu za igre kao komunikacijske kanale putem tehnike Dead Drop Resolver (DDR).
Najnovija iteracija ACRStealer-a pokazuje izuzetnu tehničku sofisticiranost, implementirajući više slojeva tehnika izbjegavanja detekcije i ometanja analize.
Za razliku od tradicionalnog malicioznog softvera koji se oslanja na direktnu komunikaciju sa serverom, ova varijanta koristi legitimne online servise kao posredničke platforme, što detekciju čini znatno izazovnijom za sigurnosna rješenja.
Sposobnost malicioznog softvera da miješa maliciozni promet s normalnim aktivnostima korisnika na popularnim platformama predstavlja zabrinjavajući razvoj događaja u svijetu prijetnji.
Analitičari ASEC-a su identifikovali nekoliko kritičnih modifikacija u novoj varijanti koje je razlikuju od prethodnih verzija.
Iako su osnovne mogućnosti krađe informacija uglavnom nepromijenjene, maliciozni softver sada uključuje napredne mehanizme protiv analize i poboljšane funkcije prikrivanja.
Akteri prijetnji kontinuirano su razvijali nove varijante kako bi proširili funkcionalnost i poboljšali mogućnosti izbjegavanja, što ukazuje na dobro opremljenu i upornu kampanju .
Komunikacijska arhitektura malicioznog softvera napušta konvencionalne HTTP biblioteke u korist direktne interakcije s Windows AFD-om (Ancillary Function Driver) koristeći NT funkcije niskog nivoa kao što su NtCreateFilei NtDeviceIoControlFile.
Ovaj pristup omogućava napadačima da zaobiđu sisteme za praćenje zasnovane na bibliotekama na koje se sigurnosni alati obično oslanjaju za analizu mrežnog prometa.
Napredna tehnika izbjegavanja kroz Rajska vrata
Modifikovani ACRStealer implementira tehniku Heaven’s Gate za izvršavanje kritičnih funkcija, posebno tokom uobičajenih procesa. Sofisticirana metoda omogućava izvršavanje x64 koda unutar WoW64 procesa, efikasno ometajući i automatske sisteme detekcije i ručne napore analize.
.webp)
Heaven’s Gate funkcioniše prebacujući se između x86 i x64 načina izvršavanja unutar istog procesa, stvarajući složen tok izvršavanja koji zbunjuje mnoge alate za nadzor sigurnosti .
Tehnika se pokazala posebno efikasnom jer iskorištava arhitektonske razlike između 32-bitnih i 64-bitnih Windows sistema.
.webp)
Kada maliciozni softver treba da izvrši osjetljive operacije poput uspostavljanja C2 veza ili krađe podataka, prelazi na x64 način izvršavanja, što tradicionalnim alatima za analizu izuzetno otežava praćenje putanje izvršavanja.
Ova implementacija sugerira da hakeri posjeduju napredno tehničko znanje i da su posebno usmjereni na poslovna okruženja gdje se takve tehnike izbjegavanja pokazuju najefikasnijima.
Izvor: CyberSecurityNews
