ACR Stealer: ClickFix, WebDAV и стеганография в атаках на организации

ACR Stealer: две волны атак с ClickFix и блокчейн-инфраструктурой EtherHiding

С конца апреля по середину июня 2026 года эксперты Microsoft Defender Experts зафиксировали резкий рост активности ACR Stealer — вредоносного программного обеспечения (malware), представляющего собой вариант Amatera Stealer. Злоумышленники применяют технику социальной инженерии ClickFix, чтобы вынудить пользователей выполнить команды cmd.exe, и нацелены на кражу конфиденциальных данных из хранилищ браузеров, токенов аутентификации и корпоративных файлов. Обе зафиксированные кампании демонстрируют изощрённые методы доставки и скрытности, подвергая организации риску компрометации учётных записей и несанкционированного доступа к облачным ресурсам.

Модель Malware-as-a-Service и две кампании вторжения

ACR Stealer распространяется по модели Malware-as-a-Service, что позволяет даже низкоквалифицированным злоумышленникам проводить атаки. В рассматриваемый период специалисты выделили две заметные кампании, каждая из которых начинается с запроса ClickFix, запускающего цепочку вредоносных действий через cmd.exe.

Первая кампания: WebDAV, PowerShell и Python

Первая волна атак в значительной степени полагается на протокол WebDAV для доставки полезной нагрузки. Основные особенности этой кампании:

  • Загрузка файлов с удалённых ресурсов WebDAV с помощью зашифрованных команд, маскирующая вредоносный трафик под легитимную сетевую активность.
  • Выполнение сложных сценариев PowerShell и Python, предназначенных для обхода механизмов обнаружения.
  • Использование rundll32.exe для загрузки DLL-файлов и запуска обфусцированного кода.

Для усложнения статического анализа malware применяет многочисленные техники запутывания: рандомизацию имён переменных, поддельные структуры управления и другие приёмы. После отработки вредоносного сценария устанавливаются постоянные соединения через задачи, мимикрирующие под легитимные операции, что серьёзно затрудняет криминалистическое расследование.

Вторая кампания: скрипты MSHTA и стеганография в JPEG

Вторая кампания использует ещё более сложный подход, при котором вредоносный код доставляется с помощью скриптов MSHTA и техники стеганографии. Жертва, обманутая запросом ClickFix, выполняет удалённый контент HTA. Этот контент декодирует и запускает сценарии PowerShell. Ключевое отличие — сокрытие вредоносного кода внутри изображений формата JPEG. Благодаря стеганографии malware способно напрямую выполняться в памяти, не создавая идентифицируемых файлов на диске, что сводит на нет многие традиционные методы обнаружения.

Что похищают злоумышленники

Обе кампании сфокусированы на методичном сборе конфиденциальной информации и краже учётных данных:

  • Используется Windows Data Protection API (DPAPI) для расшифровки и извлечения сохранённых паролей, сеансовых файлов cookie и других аутентификационных данных.
  • ACR Stealer целенаправленно ищет PDF-файлы и определённые организационные документы, готовя их к эксфильтрации.
  • Основной интерес представляют ценные пользовательские данные, токены и корпоративная информация.

EtherHiding: блокчейн-инфраструктура управления

Особо примечательным элементом первой кампании является технология EtherHiding — использование блокчейна для динамического разрешения управляющих серверов (C2). Этот метод позволяет операторам malware менять инфраструктуру управления без необходимости модифицировать сам вредоносный код. В результате командам безопасности становится значительно сложнее выявлять и нейтрализовать угрозу.

Рекомендации по защите

Детальный анализ кампаний ACR Stealer указывает на двухэтапный подход злоумышленников, комбинирующий классические команды с новаторскими техниками скрытности. Для пресечения актуальных угроз организациям рекомендуется внедрить мониторинг следующих подозрительных активностей:

  • Сетевые взаимодействия с ресурсами WebDAV и выполнение сценариев MSHTA;
  • Обфусцированные команды PowerShell;
  • Попытки использования техники ClickFix, побуждающей пользователей к выполнению команд.

Своевременное обнаружение этих индикаторов позволит снизить риск компрометации учётных данных и предотвратить несанкционированный доступ к облачным ресурсам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: