3 min de lectura

Microsoft detecta aumento de ataques con ACR Stealer

Microsoft afirma que los ataques con ACR Stealer se dispararon entre finales de abril y mediados de junio, usando ClickFix, WebDAV y MSHTA para robar datos de navegadores y documentos.

Imagen: BleepingComputer

Microsoft afirma haber observado un aumento de ataques con ACR Stealer dirigidos a sus clientes empresariales, con actividad registrada entre finales de abril y mediados de junio. El malware se está utilizando para robar contraseñas almacenadas en navegadores, tokens de autenticación y documentos sensibles.

Según Microsoft, el actor de la amenaza se basó en la técnica de ingeniería social ClickFix, en servidores WebDAV y en la utilidad MSHTA para entregar la carga útil. La compañía afirma que ACR Stealer es una operación de malware como servicio que se cree es un cambio de marca de Amatera Stealer.

Microsoft señaló dos cadenas de intrusión como las más comunes. En la primera, un señuelo ClickFix ejecuta una DLL maliciosa desde un recurso compartido WebDAV remoto a través de rundll32.exe. Microsoft dijo que el atacante normalmente utiliza una estructura de directorios basada en GUID y nombres de archivo en la ruta WebDAV que imitan recursos legítimos, como google.ct, para mezclarse con el tráfico normal.

Una vez conectado a la infraestructura de comando y control, un script de PowerShell fuertemente ofuscado lanza un instalador y configura persistencia. La cadena instala un cargador de Python empaquetado, crea una tarea programada disfrazada de actualización de software, manipula marcas de tiempo, borra el historial de PowerShell e inyecta la carga útil final en un proceso del sistema para su ejecución en memoria. Algunas variantes también usan servicios públicos de blockchain como resolutores de dead-drop para obtener ubicaciones de carga útiles actualizadas o direcciones C2, un método conocido como EtherHiding.

En la segunda cadena, ClickFix se usa para lanzar MSHTA, que obtiene contenido malicioso del servidor del atacante y ejecuta un descargador de PowerShell ofuscado. El malware luego extrae una carga útil cifrada oculta dentro de una imagen JPEG esteganográfica alojada públicamente y la ejecuta directamente en memoria.

Recomendado

Rostec presenta Spider, escudo antidrón para instalaciones de combustible

Los objetivos del malware son directos. Microsoft dice que puede:

  • Robar contraseñas, cookies, datos de sesión y tokens de autenticación almacenados en navegadores
  • Descifrar datos del navegador usando la API de Protección de Datos de Windows (DPAPI)
  • Acceder a las bases de datos de navegadores Chromium en Chrome y Edge
  • Buscar PDFs y documentos de Microsoft 365
  • Recopilar archivos de las carpetas Escritorio y Descargas
  • Apuntar a directorios de OneDrive y SharePoint sincronizados con la empresa

Todos los datos recogidos se archivan antes de ser exfiltrados.

«Estas dos campañas representan algunas de las campañas de entrega de ACR Stealer más prevalentes observadas por los expertos de Defender; sin embargo, no representan la gama completa de métodos de entrega utilizados por esta familia de malware.»

Microsoft

Microsoft dijo que es probable que existan cadenas de ejecución adicionales. Como defensa básica contra los ataques ClickFix, instó a los usuarios a no copiar ni ejecutar comandos en herramientas de terminal, especialmente cuando los avisos afirman corregir un error o demostrar que el usuario es humano.

La compañía también recomienda reducir la exposición a cadenas de entrega basadas en web aplicando filtros, bloqueando dominios de baja reputación o nuevos, y limitando el acceso a recursos en línea que no sean necesarios para las operaciones comerciales. Añadió que las reglas de control de aplicaciones pueden ayudar a bloquear contenido lanzado desde recursos remotos mediante herramientas como PowerShell, Python, mshta.exe y rundll32.exe, particularmente desde rutas escribibles por el usuario.

El informe de Microsoft incluye un conjunto más amplio de mitigaciones e indicadores de compromiso vinculados a la actividad de ACR Stealer que observó.

imagen del artículo
imagen del artículo
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

// Sigue leyendo