3 min de lectura

Microsoft advierte sobre el aumento de ataques de ACR Stealer

Microsoft afirma que los ataques de ACR Stealer están apuntando a navegadores empresariales, documentos, OneDrive y SharePoint mediante ClickFix y cadenas de entrega sin archivos.

Imagen: BleepingComputer

Microsoft ha detectado un aumento de ataques de ACR Stealer dirigidos a clientes empresariales, con el malware recopilando contraseñas almacenadas en navegadores, tokens de autenticación y documentos sensibles. Las campañas se desarrollaron desde finales de abril hasta mediados de junio y combinaron la técnica de ingeniería social ClickFix con servidores WebDAV y MSHTA, la utilidad Microsoft HTML Application Host.

ACR Stealer es una operación de malware como servicio (MaaS) que se cree es una versión renombrada de Amatera Stealer.

Cómo ACR Stealer llega a las víctimas

Microsoft identificó dos cadenas de intrusión particularmente comunes. En la primera, un señuelo ClickFix convence a la víctima de ejecutar un comando que lanza una DLL maliciosa desde un recurso compartido WebDAV remoto mediante rundll32.exe. Los atacantes usan directorios y nombres de archivo basados en GUID, como google.ct, para que la ruta remota parezca un recurso legítimo y se mezcle con el tráfico de red normal.

Tras conectarse a la infraestructura de comando y control, el malware ejecuta un script de PowerShell fuertemente ofuscado. La cadena de ataque puede entonces:

Recomendado

Incode mantiene los rostros fuera del servidor para las comprobaciones de edad

  • Instalar un cargador de Python incluido
  • Crear una tarea programada disfrazada como actualización de software
  • Manipular marcas de tiempo de archivos y borrar el historial de PowerShell
  • Inyectar la carga útil final en un proceso del sistema para su ejecución en memoria

Algunas variantes utilizan servicios blockchain públicos para recuperar ubicaciones de cargas útiles actualizadas o direcciones de C2, una técnica conocida como EtherHiding.

La segunda cadena también comienza con ClickFix, pero lanza MSHTA en su lugar. MSHTA recupera contenido malicioso del servidor del atacante y ejecuta un descargador de PowerShell ofuscado. El malware extrae entonces una carga útil cifrada escondida dentro de una imagen JPEG esteganográfica alojada públicamente y la ejecuta directamente en memoria.

Resumen de los ataques de ACR Stealer — Fuente: Microsoft

Datos objetivo y defensas recomendadas

Independientemente del método de entrega, ACR Stealer está diseñado para recopilar:

  • Contraseñas del navegador, cookies, datos de sesión y tokens de autenticación
  • Datos del navegador descifrados mediante la API de Protección de Datos de Windows (DPAPI)
  • Bases de datos de Chrome y Edge
  • PDF y documentos de Microsoft 365
  • Archivos en las carpetas Escritorio y Descargas
  • Directorios de OneDrive y SharePoint sincronizados en entornos empresariales

La información robada se archiva antes de su exfiltración al atacante. Microsoft dijo que las dos campañas están entre los métodos de entrega de ACR Stealer más prevalentes observados por Defender Experts, pero advirtió que no cubren la gama completa de cadenas de ejecución de esta familia de malware.

«Estas dos campañas representan algunas de las campañas de entrega de ACR Stealer más prevalentes observadas por Defender Experts; sin embargo, no representan la gama completa de métodos de entrega utilizados por esta familia de malware.»

Microsoft

Microsoft aconseja a los usuarios que no copien y ejecuten comandos en intérpretes cuando se les solicite arreglar un error o verificar que son humanos. Las organizaciones deben filtrar las cadenas de entrega basadas en la web, bloquear dominios de baja reputación y recién registrados, y limitar el acceso a recursos en línea que no sean necesarios para las operaciones empresariales.

Las reglas de control de aplicaciones también pueden bloquear que PowerShell, Python, mshta.exe y rundll32.exe inicien contenido alojado en recursos remotos, especialmente desde rutas escribibles por el usuario. El informe de Microsoft incluye mitigaciones adicionales e indicadores de compromiso para la actividad de ACR Stealer observada.

Prueba cada capa antes de que lo hagan los atacantes
Prueba cada capa antes de que lo hagan los atacantes
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

/ Sigue leyendo