Trojan:Win32/Acll é um ladrão de malware detectado pelo Microsoft Defender. Tem como alvo informações confidenciais, credenciais de login, detalhes pessoais, e dados financeiros. Ele se espalha por meio de software pirata, anúncios maliciosos, ou pacotes.
Trojan:Visão geral do Win32/Acll
Trojan:Win32/Acll é um software malicioso do tipo ladrão codificado em Python. Ele foi projetado para extrair e transmitir informações confidenciais de dispositivos. Esse malware tem como alvo uma ampla gama de dados, incluindo informações do sistema, credenciais de login, detalhes pessoais, e dados financeiros. Além de extrair dados de diversas aplicações como navegadores, clientes de e-mail, mensageiros, e outros, Trojan:Win32/Acll pode capturar arquivos, fazer keylogging, manipular pranchetas, e executar outras funcionalidades de spyware.
Ele se espalha de maneiras típicas de outros spywares – anexos de e-mail maliciosos e aplicativos piratas. No entanto, algumas das amostras parecem imitar ferramentas de gerenciamento de hardware, especificamente utilitários de controle de ventilador e modificadores de parâmetros UEFI. Desta maneira, malware pode obter privilégios mais altos, já que esse tipo de software geralmente requer acesso de nível raiz para funcionar.
Análise técnica
Vejamos como o Trojan:Win32/Acll se comporta no sistema. Apesar da maioria das amostras serem uma descoberta bastante recente, existem algumas pesquisas sobre cada um deles, significa que o malware é bastante difundido. Antes de começar suas ações sujas, realiza verificações de sinais de virtualização no ambiente. Este reconhecimento ajuda a Acll a evitar análises ou sandboxing. O malware verifica os seguintes locais:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\FipsAlgorithmPolicy
Essas chaves contêm os armazenamentos de certificados do usuário, impor o uso de algoritmos criptográficos, e controlar vários aspectos do comportamento e segurança do sistema. O malware também usa ofuscação de código e outros truques para evitar a detecção.
Criação de mutex & Escalação de privilégios
Depois de garantir que não está sendo executado em um ambiente comprometedor, Trojan:Win32/Acll cria mutexes para evitar que mais de uma instância seja executada ao mesmo tempo:
Local\SM0:3648:304:WilStaging_02
Local\SM0:5144:304:WilStaging_02
Então, o malware manipula arquivos e se adiciona ao Agendador de tarefas para fornecer inicializações regulares. Também, ele cria entradas nas chaves de registro Executar, fazendo o sistema executar o malware na inicialização.
schtasks /create /f /RU "%USERNAME%" /tr "%ProgramData%\WinTrackerSP\WinTrackerSP.exe" /tn "WinTrackerSP HR" /sc HOURLY /rl HIGHEST
HKEY_USERS\%SID%\Software\Microsoft\Windows\CurrentVersion\Run\ExtreamFanV5
A criação desses ganchos finaliza os preparativos, conforme o malware passa a carregar DLLs e iniciar com potência total. Ao usar o C:\WindowsSystem32wuapihost.exe -Incorporação comando, Acll realiza sideload e está pronto para a próxima etapa.
Coleção de dados
Como eu disse antes, Trojan:Win32/Acll é um ladrão de informações, com um alvo específico em dados confidenciais do usuário e carteiras de criptomoedas. O malware tenta coletar credenciais como hash ou senha em texto simples. Além de pesquisar no dispositivo, ele tenta recuperar senhas de locais de armazenamento de senhas compartilhados e pastas do navegador. Acll verifica os seguintes locais:
C:\Program Files\Common Files\SSL\openssl.cnf
C:\Users\
C:\Users\user\AppData\Local\Microsoft\Edge\User Data\
C:\Users\user\AppData\Local\BraveSoftware\Brave-Browser\User Data
C:\Users\user\AppData\Local\Vivaldi\User Data
C:\Users\user\AppData\Roaming\Opera Software\Opera GX Stable
C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data
Avançar, ele muda para carteiras de criptomoedas de desktop. A lista de alvos não é enorme, mas tenho certeza de que é apenas uma questão de tempo para esse malware começar a atingir outros.
C:\Program Files\Common Files\SSL\cert.pem
C:\Users\user\AppData\Local\Coinomi\Coinomi\wallets
C:\Users\user\AppData\Roaming\Electrum\wallets
C:\Users\user\AppData\Roaming\Ethereum\keystore
C:\Users\user\AppData\Roaming\Exodus\exodus.wallet
C:\Users\user\AppData\Roaming\atomic\Local Storage\leveldb
C:\Users\user\AppData\Roaming\bytecoin
A mesma história é sobre credenciais de FTP e VPN. Amostras revisadas direcionadas apenas ao FileZilla, OpenVPN e NordVPN (se eles fossem direcionados), mas tal funcionalidade não é difícil de implementar. Eu ainda recomendaria reset all the passwords que foram mantidos desta ou de outra forma no dispositivo afetado.
Exfiltração de dados
Depois de coletar as informações, Trojan:Win32/Acll envia para C2. Vários exemplos Win32/Acll usam o bot Telegram como servidor intermediário, como evidenciado pela sua atividade de rede:
https://api.telegram[.]org/bot7006468177:AAEjUyc53owWdXWMasYo_ZE1Y7t2sH1O718/sendMessage
https://api.telegram.org/bot7006468177:AAEjUyc53owWdXWMasYo_ZE1Y7t2sH1O718/sendDocument
Além do Telegram, o malware usa vários serviços em nuvem, incluindo OneDrive, Microsoft Azure, EdgeCast (Verizon Mídia), e outros. Aqui está a lista de endereços IP:
TCP 204.79.197.203:443
TCP 34.117.186.192:443
TCP 149.154.167.220:443
TCP 20.99.186.246:443
Como remover Trojan:Win32/Acll?
Para remover Trojan:Win32/Acll, Eu recomendo usar Antimalware GridinSoft, que você pode baixar e instalar no link abaixo. Depois da instalação, execute uma verificação completa e deixe terminar, então o programa encontrará todos os arquivos relacionados ao malware. Além da remoção de malware, GridinSoft Anti-Malware pode fornecer proteção proativa e segurança na Internet. Isso ajudará a evitar a instalação de malware mesmo na fase de download.
