СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

ACRStealer в HijackLoader: скрытые NT-вызовы, AFD и кража данных

Коротко: вредоносное ПО ACRStealer, ранее описывавшееся как предложение Malware as a Service, теперь работает внутри инфраструктуры HijackLoader и использует низкоуровневые техники (NTCalls, WoW64 syscalls) и нестандартные средства связи для скрытого выполнения и устойчивой C2-коммуникации. Это позволяет ему эффективнее красть конфиденциальные данные — от браузерных ключей до аккаунтов игровых платформ — и сложнее поддаваться обнаружению средствами защиты конечных точек.

Ключевые технические нововведения

  • Переход на низкоуровневые системные вызовы: ACRStealer использует NTCalls и WoW64 syscalls вместо традиционных Win32 APIs, что снижает видимость в EDR/AV-средах.
  • Динамическое разрешение функций: вредоносное ПО находит ntdll.dll, разрешает имена функций через модифицированную хеш-функцию djb2 и применяет переходные ворота (transition gates) для обхода хуков пользовательского режима.
  • Изменённый канал C2: вместо Dead Drop Resolver (DDR) ACRStealer перешёл на использование NTSockets и Ancillary Function Driver (AFD), вручную строя нативные пути к AFD, чтобы избежать высокоуровневых API и установить скрытое соединение.
  • Маскировка сетевого трафика: C2-трафик смешивается с легитимным HTTPS-трафиком, что усложняет сетевую аналитику и обнаружение.

Цели и возможности по краже данных

ACRStealer разработан как универсальный инструмент сбора конфиденциальной информации. Его конфигурация управляется восемью короткими строками-ключами, которые определяют выполняемые задачи, что делает семантику поведения компактной и гибкой.

  • Извлечение ключей шифрования браузера и мастер-ключей AES (включая техники обхода шифрования, привязанного к приложению), с использованием системных вызовов NT для доступа к сырым данным.
  • Рекурсивный просмотр пользовательских профилей и расшифровка артефактов браузера через DPAPI.
  • Кража учётных данных, cookies, а также сбор комплексного отпечатка жертвы.
  • Выполнение вторичных полезных нагрузок через PowerShell и техники process hollowing (опустошение процессов), что усиливает скрытность и функциональность экосистемы вредоносных действий.

Операционная активность и распространение

Телеметрические данные указывают на широкое распространение инцидентов, с наибольшей концентрацией в США, Монголии и Германии. Наблюдается устойчивое подключение к определённым IP-адресам и постоянная активность инфраструктуры.

Методы распространения адаптируются: вредоносное ПО распространяется через сайты, связанные с играми, социальные медиа и облачные сервисы — что соответствует тактике злоумышленников, стоящих за инфраструктурой PiviGames, чья активность остаётся постоянной.

«ACRStealer постоянно эволюционирует, используя комбинированные низкоуровневые техники и смешение трафика с легитимными сервисами, что делает его серьёзной угрозой для пользователей игровых и социальных платформ», — резюмируют аналитики.

Показатели и индикаторы компрометации (IOC)

  • Использование нестандартных системных вызовов (NTCalls, WoW64 syscalls).
  • Обращения к ntdll.dll с динамическим разрешением функций через модифицированный djb2.
  • Установление соединений через вручную собранные AFD-пути и применение NTSockets.
  • Необычное смешение TLS/HTTPS-трафика с C2-паттернами.
  • Запуски PowerShell и признаки process hollowing в родительских процессах игровых или браузерных приложений.

Рекомендации по защите

  • Обновите EDR/AV-решения и включите поведенческий мониторинг, нацеленный на низкоуровневые API-вызовы, нестандартные syscalls и аномальные обращения к ntdll.dll.
  • Контролируйте и анализируйте сетевой трафик на предмет смешения C2 с HTTPS; внедрите TLS-фингерпринтинг и детекцию аномалий в SNI/сертификатах.
  • Отслеживайте и ограничивайте использования AFD/NTSockets в нетипичных процессах; сигнализируйте о ручной сборке нативных путей.
  • Жёсткая политика исполнения скриптов: ограничьте/логи пуск PowerShell и применяйте Application Control (например, AppLocker, WDAC).
  • Защитите учетные записи: включите 2FA, применяйте менеджеры паролей и регулярную ротацию критичных ключей и сертификатов.
  • Ограничьте загрузки и макро-подобные активности с сайтов игровых и социальных сервисов; обучайте пользователей признакам фишинга и сомнительных загрузок.

Вывод

ACRStealer демонстрирует зрелую и адаптивную стратегию: переход на низкоуровневые вызовы, использование AFD/NTSockets для C2 и способность извлекать защищённые артефакты делают его серьёзной угрозой для конечных пользователей — особенно в игровых и социальных экосистемах. Интеграция в инфраструктуру HijackLoader и постоянная активность акторов, связанных с PiviGames, указывают на то, что угроза будет эволюционировать дальше. Необходимы скоординированные усилия по мониторингу, обновлению защитных механизмов и проактивной детекции аномалий на конечных точках и в сети.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: