Akira, Mart 2023’te bulunan, bilgi çalan bir kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım, kayıtlı kimlik bilgileri ve ödeme kartı ayrıntıları, kullanıcı adları, sistem kimliği, donanım ayrıntıları, yüklü yazılımlar ve ağ yapılandırmaları dahil olmak üzere hassas bilgileri çalabilir.
Bu bilgi çıkarıldıktan sonra verileri ‘GoDosyasıTehdit aktörünün sahip olduğu çevrimiçi depolama yönetimi hizmeti ve Discord anlık mesajlaşma hizmeti hesapları.
Akira Hırsızı
Cyber Security News ile özel olarak paylaşılan raporlara göre Akira Stealer, kod gizleme ve tespitten kaçınma için çok seviyeli bir enfeksiyon süreci içeriyor.
Tehdit aktörünün ayrıca Telegram, bir C2 sunucusu ve GitHub üzerinden hizmet sağladığı da tespit edildi.
Üstelik tehdit aktörü, bu zararlı yazılımın FUD (Tam Tespit Edilemez) olduğunu iddia ediyor. Telegram kanalı Akira’nın şu an itibariyle 358 abonesi var. Tehdit aktörü aynı zamanda hizmet olarak kötü amaçlı yazılım alanı da sunuyor “https[:]//akira[.]kırmızı/”.
Dosya, Davranış ve Kod Analizi
Analiz aracı olarak araştırmacılar, karmaşık kod içeren bir CMD komut dosyası olan “3989X_NORD_VPN_PREMIUM_HITS.txt.cmd” adlı örnek bir dosya topladı. Ancak tehdit aktörünün belirttiği gibi dosya VirusTotal’da tamamen tespit edilemez.
Yürütüldüğünde, geçerli çalışma dizinine bir gizli.bat toplu iş dosyası bırakır ve bu dosyanın da algılanamaz olduğu tespit edilir. Bu dosya, csscript.exe işlemiyle birlikte yürütülmek üzere toplu iş dosyasını tmp.vbs dosyasıyla birlikte ekleyen, gizlenmiş bir PowerShell betiğinden oluşur.
Ekstraksiyon ve Süzme
Bilgi hırsızlığına gelince, kötü amaçlı yazılım, çalınan bilgileri depolamak için ele geçirilen bilgisayarın adını taşıyan bir klasör oluşturur. Bunu yayınladıktan sonra kötü amaçlı yazılım, Microsoft Edge, Google Chrome, Opera, Mozilla Firefox ve diğer 14 tarayıcı dahil olmak üzere çeşitli tarayıcılardan bilgi çalmaya başlar.
Ayrıca hırsız, kayıtlı kredi kartları ve oturum açma bilgileri gibi finansal verileri de hedefleyebilir, yer imlerini ve cüzdan uzantısı verilerini toplayabilir, ekran görüntüleri alabilir ve çok daha fazlasını gerçekleştirebilir.
Bu Akira hırsızı kötü amaçlı yazılımı hakkında, kötü amaçlı yazılımın davranışı, kaynak kodu ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Cyfirma tarafından eksiksiz bir rapor yayımlandı.
Uzlaşma Göstergeleri
| S.Hayır | Göstergeler | Tip | Bağlam |
| 1 | 016dfdd45c8208d246d59327c40355e0 | MD5 Karma | 3989X_NORD_VPN_PREMIUM_HITS.txt.cmd |
| 2 | b14262297bdfc61e2103eed6d77dce42bd3076c31912b4143151dfa36f751411 | SHA-256 Karma | 3989X_NORD_VPN_PREMIUM_HITS.txt.cmd |
| 3 | 81e7ff1742d45075305a2082b1a7ac9d | MD5 Karma | gizli.bat |
| 4 | 03564dc699f82f7e5d52046d82863ceddc6d657c66c0078f88cfe9cf1953187b | SHA-256 Karma | gizli.bat |
| 5 | 4027c802411f8b4091c5c4eb077efa49 | MD5 Karma | Dosya.zip |
| 6 | 50e36d96cb593c39afa2fc11ac25c976f0ff1586159d2eb2626902e6d6062f81 | SHA-256 Karma | Dosya.zip |
| 7 | Akira[.]kırmızı | İhtisas | C2 sunucusu |
| 8 | https[:]//akira[.]kırmızı/pyst.txt | URL’si | C2 sunucusu |
| 9 | https[:]//akira[.]kırmızı/inj.php | URL’si | C2 sunucusu |
| 10 | https[:]//apı[.]gofile[.]io/getSunucusu | URL’si | Veri hırsızlığı |
| 11 | https[:]//mağaza11[.]gofile[.]io/uploadDosyası | URL’si | Veri hırsızlığı |
| 12 | https[:]//mağaza1[.]gofile[.]io/uploadDosyası | URL’si | Veri hırsızlığı |
| 13 | https[:]//mağaza4[.]gofile[.]io/uploadDosyası | URL’si | Veri hırsızlığı |
| 14 | https[:]//anlaşmazlık[.]com/api/webhooks/1145738132550078484/px0c3QsngkzQX39aXJP-vKODDYwvODftHl6j83epN0ndbZ0O_DQ7D6vhFVDcluj0rLey | URL’si | Veri hırsızlığı |
| 15 | https[:]//mağaza7[.]gofile[.]io/indirme/doğrudan/13d3e926-8be7-4c15-a1d9-f0e809ec1f14/m2[.]zip | URL’si | Kötü amaçlı yazılım indirme |
| 16 | https://t[.]ben/AkiraRedBot | URL’si | Telgraf kanalı |
| 17 | https://t[.]ben/akiraundetektör | URL’si | Telgraf kanalı |
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.