ACR Stealer gebruikt ClickFix Lures om browsertokens en Microsoft 365-bestanden te stelen

ACR Stealer, een infostealer die sinds 2024 in omloop is, verlaat bedrijfsnetwerken met opgeslagen browserwachtwoorden, tokens voor livesessies, pdf’s, Microsoft 365-documenten en bestanden uit gesynchroniseerde OneDrive- en SharePoint-mappen.

Het komt binnen omdat iemand een opdracht in een vak Uitvoeren heeft geplakt en op Enter heeft gedrukt. Microsoft heeft donderdag twee van de leveringsketens gepresenteerd. Het Defender Experts-team, de beheerde detectieafdeling van het bedrijf, had van eind april tot half juni de activiteit van ACR Stealer in klantomgevingen zien stijgen en zegt dat de campagnes “met succes ClickFix-lokmiddelen gebruiken om browsergegevens, authenticatietokens en gevoelige documenten te stelen.”

Beide ketens openen met dezelfde prompt en worden vervolgens gesplitst: de ene laat sporen achter op de schijf, de andere draait bijna volledig in het geheugen. De herstelrichtlijnen van Microsoft vertellen slachtoffers dat ze tokens moeten intrekken, en niet alleen wachtwoorden moeten roteren.

Een lading in de pixels

De prompt komt waarschijnlijk via malvertising of SEO-gemanipuleerde zoekresultaten, aldus het rapport. De bestandsloze keten begint wanneer het geplakte commando verschijnt mshta.exe om externe HTA-inhoud op te halen. Een ingebedde VBScript-lader steunt op COM-objecten om PowerShell te decoderen en af ​​te vuren; in die fase wordt een slachtoffer-ID aangemaakt, wordt de certificaatvalidatie uitgeschakeld en wordt uitgevoerd wat het in het geheugen ophaalt.

Wat het ophaalt is een JPEG van een afbeeldingshost, waarbij de lading in de pixels zit. Aangepaste routines snijden het uit, decoderen het, decomprimeren het en voeren het reflectief uit. Dan geldt het voor Chrome en Edge, het lezen van de Login Data En Web Data databases en het aanroepen van DPAPI om de wachtwoorden, cookies en tokens die ze bevatten te ontsleutelen. De PDF’s op het bureaublad en in Downloads gaan ook mee.

Op 26 mei documenteerde SANS Internet Storm Center-handler Brad Duncan een Windows-infectie die hij herleidde naar een pagina die zich voordeed als Claude, de AI-assistent van Anthropic, bereikt via kwaadaardige Google-advertenties en vaak verborgen achter sites.google.com URL’s. De pagina bood macOS-instructies wanneer deze werd geopend op een Mac en Windows-instructies wanneer deze werd geopend op Windows.

Microsoft noemt nooit de aantrekkingskracht. Twee van de indicatoren in de tabel van Campagne 2, creativecommunityinfo(.)art En enhanceblabber(.)ccworden vermeld als een payloadhost en een C2. The Hacker News kwam overeen met de keten van Duncan, die zeven weken eerder door subdomeinen liep, en het rapport van Microsoft noemt zijn dagboek als een van de referenties.

Die keten haalde ook een JPEG van 628 KB van ImgBB, een beeldhostingservice. Hij markeerde het als onderdeel van de infectie en haalde er niets uit: “Ik kon ook geen duidelijke tekenen van ingebedde gegevens vinden.”

Red Canary had een maand eerder kunstaas van het merk Claude geregistreerd en ACR Stealer geleverd via valse Claude Code-pagina’s op GitLab, zoals claude-desktop(.)gitlab(.)io.

De andere ketting laat vingerafdrukken achter

De eerste keten van Microsoft schrijft naar schijf, waardoor verdedigers meer werk hebben. De geplakte opdracht haalt een DLL rechtstreeks van een WebDAV-share via HTTPS, met behulp van een GUID-map en een bestandsnaam die is gebouwd om als iets anders door te geven; het voorbeeld van het rapport is google.ct.

Red Canary publiceerde dezelfde vorm in zijn rapport van mei, van telemetrie van april, weken vóór het artikel van Microsoft:

"C:Windowssystem32rundll32.exe" \sphere-api.dialectosphere.in(.)net5fe317c-0981-4de2-bc8a-930d369db441ck-3d80df5d12cdfe6450a782fc87bf66b444.google,#1

Twee van de drie varianten die Defender Experts zagen gebruiken pushd om de externe share eerst als een tijdelijke lokale schijf te koppelen, zodat de payload via wat lijkt op een lokaal pad loopt. De stealthiest verpakt dat in conhost.exe --headless om het consolevenster te doden en de snaren voor te verbergen pushd, rundll32en de externe host achter de vertraagde uitbreiding van omgevingsvariabelen.

Wat volgt is onduidelijke PowerShell. Er wordt een ZIP in een map eronder neergezet %LocalAppData%Temp met een onschadelijke naam; Het voorbeeld van Microsoft is LogiOptionsPlus. Een gebundeld pythonw.exe start vervolgens het Python-script, zodat er niets op het scherm knippert. Het installatieprogramma wist oudere exemplaren voordat het wordt geïnstalleerd, waardoor het een updater wordt.

Het blijft bestaan ​​via een verborgen geplande taak die zich voordoet als een software-update, waarbij tijdstempels worden verwijderd notepad.exe naar zijn eigen bestanden en wist de PowerShell-geschiedenis erachter. De laatste fase blijft in het geheugen en wordt uitgevoerd via de Windows Fiber API.

In een subset van deze inbraken praat een tweede Python-lader met openbare blockchain-RPC-eindpunten en Web3-knooppuntinfrastructuur, waarbij waarschijnlijk een payload of een C2-adres uit een grootboek wordt gehaald. Microsoft noemt de techniek EtherHiding: plaats de aanwijzer in een slim contract en er is geen door de aanvaller bestuurde oplossing meer om te grijpen.

Geen bug, geen cijfers

Geen van beide ketens maakt misbruik van een kwetsbaarheid. Beide erven precies wat de ingelogde gebruiker al heeft, en elke laag stroomafwaarts, de WebDAV-aankoppeling, de pixelextractie, de overdracht in het geheugen, wordt alleen uitgevoerd omdat iemand een prompt heeft gelezen en op Enter heeft gedrukt. Er is geen CVE in dit verhaal. Door het patchen wordt het plakken-en-uitvoeren-pad niet verwijderd.

Microsoft zegt dat het kunstaas werkt, maar kwantificeert dit nooit. Het rapport geeft geen aantal slachtoffers, geen aantal getroffen klanten en geen basislijn voor de stijging die het rapporteert.

De apriltelemetrie van Red Canary bevat in ieder geval cijfers. ClearFake, een web-inject-cluster dat ACR Stealer in ieder geval sinds maart 2025 voedt, nam die maand voor het eerst de nummer 1-positie in op de lijst met meest voorkomende bedreigingen, en ACR Stealer kwam op een gedeelde zesde plaats in de top tien terecht.

Het cluster levert via JavaScript dat in besmette sites wordt geïnjecteerd, en het rapport van Microsoft vermeldt dit in geen van beide ketens.

Wiens dief is dit?

Microsoft is voorzichtig met wat het beweert. Het koppelt de activiteit aan ACR Stealer op het gebied van geobserveerd gedrag en post-uitbuiting, getoetst aan wat publiekelijk bekend is over de infrastructuur van het gezin, en noemt helemaal geen bedreigingsactoren. De voorzichtigheid is verdiend.

ACR, ook geschreven als AcridRain, werd op Russischtalige forums op de markt gebracht door een acteur die bekend staat als SheldIO, die de verkoop in juli 2024 stopte. De accounts verdeelden zich over wat er daarna gebeurde. eSentire zegt dat de broncode is verkocht. Het verhaal van Proofpoint verschilt: hetzelfde Telegram-kanaal noemde de shutdown, geen afscheid van het team, en het Amatera-panel dook vijf maanden later op.

Over de rebranding zijn ze het eens. Proofpoint meldde in juni 2025 dat “ACR Stealer aanzienlijk werd bijgewerkt en omgedoopt tot Amatera Stealer”, met een prijs van $ 199 per maand tot $ 1.499 per jaar. Red Canary behandelt ACR en Amatera als één familie en beschouwt ACR zelf als een bijgewerkte GrMsk Stealer.

Een detectie uit juli 2026 met het label ACR Stealer is een gedragsmatige oproep op een codebase die minstens één keer is hernoemd en mogelijk van eigenaar is veranderd. Het label beschrijft de code. Er wordt niet vermeld wie de leiding heeft.

Waar het te stoppen

Eén besturingselement bevindt zich stroomopwaarts van elke techniek hierboven: geen van beide ketens wordt uitgevoerd zonder dat een gebruiker een commando in het dialoogvenster Uitvoeren plakt.

  • Knip de vector. eSentire raadt aan de Run-prompt via GPO te verwijderen en te blokkeren mshta.exe via AppLocker of WDAC.
  • Gebruik applicatiecontrole en regels voor het verminderen van aanvalsoppervlakken, zodat PowerShell, Python, mshta.exeEn rundll32.exe kan via internet geleverde inhoud niet starten Downloads, Tempof %LocalAppData%.
  • Jacht rundll32.exe draaien zonder opdrachtregelparameters tijdens het maken van een netwerkverbinding, wat de detectiemogelijkheid van Red Canary is voor deze familie. Voeg geplande taken toe die zich voordoen als software-updates, timestomping en het wissen van de PowerShell-geschiedenis.
  • Op een vermoedelijke host kunt u de inloggegevens isoleren, rouleren, tokens intrekken en uitgaande verbindingen met externe shares en services voor het hosten van afbeeldingen controleren.

Microsoft heeft drie Defender XDR-jachtquery’s en 16 campagnedomeinen bij het rapport geleverd.

Deze indicatoren zijn slechts een deel, en het rapport zegt dat ook: representatief, niet het volledige bereik van het gezin, met waarschijnlijk meer campagnes en infrastructuur actief. Domeinen roteren. De vraag aan de voorkant niet, want het werkt. De kunstaas overlappen elkaar in plaats van elkaar te vervangen: Red Canary zag valse CAPTCHA’s en valse Claude-pagina’s in dezelfde telemetrie van april.

Thijs Van der Does