Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

ACR Stealer користи ClickFix измами за кражба на токени од прелистувачи и Microsoft 365 документи

ACR Stealer, инфостилер кој е активен од 2024 година, краде зачувани лозинки од интернет-прелистувачи, активни сесиски токени, PDF документи, Microsoft 365 документи, како и датотеки од синхронизираните папки на OneDrive и SharePoint во корпоративните мрежи.

Малициозниот софтвер успева да се инфилтрира затоа што корисникот копира команда во прозорецот Run и притиска Enter. Во четвртокот Microsoft ги опиша двата најчести синџири на напад. Тимот Microsoft Defender Experts, задолжен за управувано откривање на закани, забележал значително зголемување на активноста на ACR Stealer кај клиентите во периодот од крајот на април до средината на јуни.

Според Microsoft, кампањите:

„успешно користат ClickFix мамки за кражба на акредитиви од интернет-прелистувачи, токени за автентикација и чувствителни документи.“

Двата синџири започнуваат со истата измамничка порака, но потоа се разгрануваат:

  • едниот остава траги на дискот;
  • другиот се извршува речиси целосно во меморијата.

Microsoft препорачува компромитираните организации да ги поништат (ревоцираат) токените за автентикација, а не само да ги променат лозинките.

Скриен малициозен код во JPEG слика

Измамничката порака најчесто се доставува преку малициозни реклами (malvertising) или резултати од пребарување манипулирани со SEO техники.

Кај нападот што не остава датотеки на дискот (fileless attack), командата што корисникот ја внесува го стартува mshta.exe, кој презема далечинска HTA содржина.

Вграден VBScript користи COM објекти за декодирање и извршување на PowerShell. Во оваа фаза се:

  • генерира единствен идентификатор на жртвата;
  • се исклучува проверката на SSL сертификатите;
  • преземениот код се извршува директно во меморијата.

Следниот чекор е преземање на JPEG слика од сервис за хостирање слики. Малициозниот код е сокриен во самата слика, а специјално изработени рутини го:

  • издвојуваат,
  • дешифрираат,
  • декомпресираат,
  • и го извршуваат директно во меморијата (reflective execution).

Потоа ACR Stealer ги таргетира Google Chrome и Microsoft Edge, читајќи ги базите Login Data и Web Data, при што ја користи DPAPI (Data Protection API) за дешифрирање на:

  • зачуваните лозинки;
  • колачињата (cookies);
  • токените за автентикација.

Дополнително, ги краде и PDF документите што се наоѓаат на Desktop и во папката Downloads.

Нападите биле маскирани како Claude AI

На 26 мај, истражувачот Brad Duncan од SANS Internet Storm Center документирал Windows инфекција што ја поврзал со веб-страница која се претставувала како Claude, AI асистентот на компанијата Anthropic.

До страницата се доаѓало преку злонамерни Google Ads, а често била сокриена зад sites.google.com адреси.

Страницата прикажувала различни инструкции зависно од оперативниот систем:

  • за macOS корисниците – инструкции за Mac;
  • за Windows корисниците – инструкции за Windows.

Иако Microsoft не го именува директно овој мамец, два индикатори наведени во нивниот извештај – creativecommunityinfo[.]art и enhanceblabber[.]cc – се користеле како сервер за испорака на малициозниот код и како Command-and-Control (C2) инфраструктура.

Според анализата на The Hacker News, овие домени се совпаѓаат со инфраструктурата што ја документирал Duncan седум недели претходно, а Microsoft во својот извештај се повикува и на неговото истражување.

Во истиот напад била преземена JPEG слика со големина од 628 KB од сервисот ImgBB. Duncan ја идентификувал како дел од инфекцијата, но при својата анализа не успеал да открие очигледни знаци дека во неа има вграден малициозен код.

Еден месец претходно, компанијата Red Canary забележала слични кампањи со брендот Claude, при што ACR Stealer се испорачувал преку лажни страници за Claude Code поставени на GitLab, како што е claude-desktop[.]gitlab[.]io.

Вториот синџир остава повеќе траги

Првиот синџир на напад што го анализира Microsoft остава повеќе артефакти на дискот, што им овозможува на безбедносните тимови полесно да ја откријат компромитацијата.

Командата што корисникот ја внесува презема DLL датотека директно од WebDAV споделување преку HTTPS, користејќи директориум именуван со GUID и име на датотека што изгледа легитимно. Во примерот на Microsoft, датотеката се вика google.ct.

Компанијата Red Canary ја документирала истата техника уште во својот извештај од мај, врз основа на телеметрија собрана во април, неколку недели пред Microsoft да го објави своето истражување.

Од трите варијанти што ги анализирал Microsoft Defender Experts, две ја користат командата pushd за привремено мапирање на оддалечениот WebDAV ресурс како локален диск, со што извршувањето изгледа како да потекнува од локална патека.

Најприкриената варијанта дополнително користи conhost.exe –headless за да го сокрие конзолниот прозорец и ги маскира стринговите што се однесуваат на pushd, rundll32 и адресата на оддалечениот сервер преку одложено проширување на променливите на околината (delayed environment-variable expansion).

Следува замаскиран (обфусциран) PowerShell код. Тој поставува ZIP архива во папка под %LocalAppData%\Temp, со безопасно име. Во примерот на Microsoft тоа е LogiOptionsPlus. Потоа вклучениот pythonw.exe ја стартува Python скриптата без да се појави прозорец на екранот. Пред инсталацијата, инсталерот ги брише постарите копии, поради што изгледа како легитимна алатка за ажурирање.

За да обезбеди трајност (persistence), малициозниот софтвер:

  • креира скриена Scheduled Task која се претставува како ажурирање на софтвер;
  • ги копира временските ознаки (timestamps) од notepad.exe врз сопствените датотеки за да изгледаат легитимно;
  • ја брише историјата на PowerShell.

Последната фаза се извршува целосно во меморијата, при што го пренесува извршувањето преку Windows Fiber API.

EtherHiding и блокчејн инфраструктура

Кај дел од компромитираните системи, втор Python loader комуницира со јавни blockchain RPC крајни точки и Web3 инфраструктура, најверојатно за да преземе дополнителен payload или адреса на Command-and-Control (C2) сервер од јавен блокчејн.

Microsoft оваа техника ја нарекува EtherHiding.

Идејата е покажувачот (pointer) кон следната фаза на нападот да се зачува во smart contract, со што повеќе нема централен домен или DNS инфраструктура што може да се заплени или исклучи од страна на безбедносните служби.

Нема ранливост, нема CVE

Ниту еден од двата синџири на напад не искористува софтверска ранливост.

Наместо тоа, тие ги наследуваат сите привилегии што веќе ги има најавениот корисник. Сите наредни чекори – WebDAV монтирањето, извлекувањето на малициозниот код од сликата и извршувањето во меморијата – се случуваат само затоа што корисникот ја прочитал пораката, ја копирал командата и притиснал Enter.

Во овој случај не постои CVE идентификатор, а инсталирањето закрпи не го елиминира ризикот од ваков тип на paste-and-run напад.

Microsoft наведува дека овие мамки се успешни, но не објавува конкретни бројки. Во извештајот нема:

  • број на жртви;
  • број на погодени организации;
  • статистика што би го покажала реалниот раст на нападите.

Податоците на Red Canary

Компанијата Red Canary сепак објави статистика врз основа на телеметријата од април.

Кампањата ClearFake, која најмалку од март 2025 година го дистрибуира ACR Stealer, за првпат се искачила на првото место на листата на најраспространети закани.

Во истиот период, ACR Stealer влегол меѓу десетте најзастапени закани, делејќи го шестото место.

ClearFake функционира преку JavaScript код вметнат во компромитирани веб-страници, но Microsoft не ја споменува оваа инфраструктура во ниту еден од двата анализирани синџири на напад.

Кој стои зад ACR Stealer?

Microsoft внимателно ги формулира своите заклучоци.

Компанијата ја поврзува активноста со ACR Stealer врз основа на:

  • забележаното однесување на малициозниот софтвер;
  • техниките користени по компромитацијата;
  • јавно достапните информации за инфраструктурата на ова семејство.

Сепак, Microsoft не именува ниту една конкретна заканувачка група како одговорна.

Ова е разбирливо, бидејќи историјата на ACR Stealer е нејасна.

ACR Stealer, познат и како AcridRain, бил продаван на форуми на руски јазик од актер познат како SheldIO, кој во јули 2024 година објавил дека ја прекинува продажбата.

Потоа извештаите се разликуваат:

  • eSentire тврди дека изворниот код бил продаден на други лица;
  • Proofpoint наведува дека истиот Telegram канал само објавил прекин на услугата, без да се работи за конечно гасење на тимот, а пет месеци подоцна се појавила платформата Amatera.

За ребрендирањето постои поголема согласност.

Во јуни 2025 година Proofpoint објави дека:

„ACR Stealer беше значително надграден и ребрендиран во Amatera Stealer,“

при што претплатата чинела од 199 американски долари месечно до 1.499 долари годишно.

Red Canary ги третира ACR Stealer и Amatera како едно исто семејство, а смета дека ACR претставува понова верзија на GrMsk Stealer.

Затоа, детекција означена како ACR Stealer во јули 2026 година всушност означува одредена кодна база која најмалку еднаш била преименувана и можеби ја сменила сопственоста.

Името ја опишува фамилијата на малициозниот код, но не открива кој моментално ја користи.

Како да се спречат нападите

Најважната заштитна мерка е да се прекине нападот уште на самиот почеток.

Ниту еден од двата синџири не може да започне ако корисникот не ја залепи командата во прозорецот Run и не притисне Enter.

Затоа eSentire препорачува:

  • да се оневозможи Run прозорецот преку Group Policy (GPO);
  • да се блокира mshta.exe со AppLocker или Windows Defender Application Control (WDAC).

Дополнително се препорачува:

  • примена на Application Control и Attack Surface Reduction (ASR) правила за да се спречи PowerShell, Python, mshta.exe и rundll32.exe да извршуваат содржина преземена од Downloads, Temp или %LocalAppData%;
  • следење на rundll32.exe процеси што воспоставуваат мрежни конекции без параметри на командната линија, што според Red Canary претставува важен индикатор за ова семејство на закани;
  • откривање на лажни Scheduled Tasks што се претставуваат како ажурирања на софтвер, манипулација со временските ознаки (timestomping) и бришење на историјата на PowerShell.

Доколку постои сомневање дека системот е компромитиран, Microsoft препорачува:

  • изолација на компромитираниот уред;
  • промена на акредитивите;
  • поништување (ревокација) на токените за автентикација;
  • проверка на излезните конекции кон WebDAV ресурси и сервиси за хостирање слики.

Microsoft, исто така, објави три Defender XDR hunting queries и 16 домени поврзани со анализираните кампањи.

Компанијата нагласува дека овие индикатори претставуваат само репрезентативен пример, а не целокупната инфраструктура на ACR Stealer. Се очекува постоење на дополнителни кампањи и нови домени, бидејќи инфраструктурата постојано се менува.

Она што останува непроменето е почетната измама: наведување на корисникот сам да ја изврши командата. Според Red Canary, во април истовремено биле активни и лажни CAPTCHA страници и лажни Claude AI страници, што покажува дека напаѓачите користат повеќе различни мамки за да ја постигнат истата цел.

Извори:

  • The Hacker News – ACR Stealer Uses ClickFix Lures to Steal Browser Tokens and Microsoft 365 Filess The Hacker News