ACR Stealer: ClickFix, WebDAV и стеганография в атаках на организации
ACR Stealer: две волны атак с ClickFix и блокчейн-инфраструктурой EtherHiding
С конца апреля по середину июня 2026 года эксперты Microsoft Defender Experts зафиксировали резкий рост активности ACR Stealer — вредоносного программного обеспечения (malware), представляющего собой вариант Amatera Stealer. Злоумышленники применяют технику социальной инженерии ClickFix, чтобы вынудить пользователей выполнить команды cmd.exe, и нацелены на кражу конфиденциальных данных из хранилищ браузеров, токенов аутентификации и корпоративных файлов. Обе зафиксированные кампании демонстрируют изощрённые методы доставки и скрытности, подвергая организации риску компрометации учётных записей и несанкционированного доступа к облачным ресурсам.
Модель Malware-as-a-Service и две кампании вторжения
ACR Stealer распространяется по модели Malware-as-a-Service, что позволяет даже низкоквалифицированным злоумышленникам проводить атаки. В рассматриваемый период специалисты выделили две заметные кампании, каждая из которых начинается с запроса ClickFix, запускающего цепочку вредоносных действий через cmd.exe.
Первая кампания: WebDAV, PowerShell и Python
Первая волна атак в значительной степени полагается на протокол WebDAV для доставки полезной нагрузки. Основные особенности этой кампании:
- Загрузка файлов с удалённых ресурсов WebDAV с помощью зашифрованных команд, маскирующая вредоносный трафик под легитимную сетевую активность.
- Выполнение сложных сценариев PowerShell и Python, предназначенных для обхода механизмов обнаружения.
- Использование rundll32.exe для загрузки DLL-файлов и запуска обфусцированного кода.
Для усложнения статического анализа malware применяет многочисленные техники запутывания: рандомизацию имён переменных, поддельные структуры управления и другие приёмы. После отработки вредоносного сценария устанавливаются постоянные соединения через задачи, мимикрирующие под легитимные операции, что серьёзно затрудняет криминалистическое расследование.
Вторая кампания: скрипты MSHTA и стеганография в JPEG
Вторая кампания использует ещё более сложный подход, при котором вредоносный код доставляется с помощью скриптов MSHTA и техники стеганографии. Жертва, обманутая запросом ClickFix, выполняет удалённый контент HTA. Этот контент декодирует и запускает сценарии PowerShell. Ключевое отличие — сокрытие вредоносного кода внутри изображений формата JPEG. Благодаря стеганографии malware способно напрямую выполняться в памяти, не создавая идентифицируемых файлов на диске, что сводит на нет многие традиционные методы обнаружения.
Что похищают злоумышленники
Обе кампании сфокусированы на методичном сборе конфиденциальной информации и краже учётных данных:
- Используется Windows Data Protection API (DPAPI) для расшифровки и извлечения сохранённых паролей, сеансовых файлов cookie и других аутентификационных данных.
- ACR Stealer целенаправленно ищет PDF-файлы и определённые организационные документы, готовя их к эксфильтрации.
- Основной интерес представляют ценные пользовательские данные, токены и корпоративная информация.
EtherHiding: блокчейн-инфраструктура управления
Особо примечательным элементом первой кампании является технология EtherHiding — использование блокчейна для динамического разрешения управляющих серверов (C2). Этот метод позволяет операторам malware менять инфраструктуру управления без необходимости модифицировать сам вредоносный код. В результате командам безопасности становится значительно сложнее выявлять и нейтрализовать угрозу.
Рекомендации по защите
Детальный анализ кампаний ACR Stealer указывает на двухэтапный подход злоумышленников, комбинирующий классические команды с новаторскими техниками скрытности. Для пресечения актуальных угроз организациям рекомендуется внедрить мониторинг следующих подозрительных активностей:
- Сетевые взаимодействия с ресурсами WebDAV и выполнение сценариев MSHTA;
- Обфусцированные команды PowerShell;
- Попытки использования техники ClickFix, побуждающей пользователей к выполнению команд.
Своевременное обнаружение этих индикаторов позволит снизить риск компрометации учётных данных и предотвратить несанкционированный доступ к облачным ресурсам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



