ACR Stealer: Tarayıcı Token'larınızı ve Microsoft 365 Dosyalarınızı Çalan Yeni Tehdit Yazılım

ACR Stealer: Tarayıcı Token'larınızı ve Microsoft 365 Dosyalarınızı Çalan Yeni Tehdit

ACR Stealer, ClickFix tuzaklarıyla tarayıcı token'larını ve Microsoft 365 dosyalarını hedef alıyor. Korunma yöntemleri ve Microsoft'un uyarıları.

2024'ten beri dolaşımda olan ACR Stealer adlı bilgi hırsızı, kurumsal ağlardan kayıtlı tarayıcı şifrelerini, canlı oturum token'larını, PDF'leri, Microsoft 365 belgelerini ve eşzamanlanmış OneDrive ile SharePoint klasörlerindeki dosyaları çalarak dikkat çekiyor. Microsoft'un Defender Experts ekibi, Nisan sonundan Haziran ortasına kadar müşteri ortamlarında ACR Stealer aktivitesinde artış gözlemledi. Saldırıların, 'ClickFix' tuzakları kullanarak tarayıcı kimlik bilgilerini, kimlik doğrulama token'larını ve hassas belgeleri başarıyla çaldığı belirtiliyor.

Saldırı zinciri, bir kullanıcının bir komutu kopyalayıp Çalıştır kutusuna yapıştırmasıyla başlıyor. İki farklı yöntem izleniyor: biri diskte iz bırakırken, diğeri neredeyse tamamen bellekte çalışıyor. İlk zincir, mshta.exe aracılığıyla uzaktan HTA içeriği çekiyor; gömülü VBScript yükleyici, COM nesneleri kullanarak PowerShell'i çalıştırıyor. Bu aşamada bir kurban kimliği oluşturuluyor, sertifika doğrulaması devre dışı bırakılıyor ve alınan yük bellekten çalıştırılıyor.

Yük, bir JPEG dosyasının piksel verilerine gizlenmiş durumda. Özel rutinler bu veriyi ayıklıyor, şifresini çözüyor, sıkıştırmasını açıyor ve yansıtmalı olarak çalıştırıyor. Ardından Chrome ve Edge tarayıcılarının Login Data ve Web Data veritabanlarını okuyor, DPAPI kullanarak şifreleri, çerezleri ve token'ları çözüyor. Masaüstü ve İndirilenler klasörlerindeki PDF'ler de çalınıyor.

SANS Internet Storm Center uzmanı Brad Duncan, 26 Mayıs'ta Anthropic'in yapay zeka asistanı Claude'u taklit eden bir sayfadan bulaşan bir Windows enfeksiyonunu belgeledi. Kötü amaçlı Google reklamları ve sites.google.com URL'leriyle yayılan bu sayfa, macOS ve Windows için farklı talimatlar sunuyordu. Microsoft, tehdit aktörünü isimlendirmese de, Raporda belirtilen göstergelerden ikisi (creativecommunityinfo[.]art ve enhanceblabber[.]cc) daha önce Duncan'ın zincirinde tespit edilmişti.

Sonuç ve Değerlendirme

İkinci saldırı zinciri, bir WebDAV paylaşımından DLL dosyası çekiyor. Microsoft'un örneğinde 'google.ct' gibi masum görünen bir dosya adı kullanılıyor. Red Canary, Nisan ayında aynı deseni raporlamıştı: rundll32.exe ile çalıştırılan bir DLL. Bu zincirde pushd komutuyla uzak paylaşım geçici yerel sürücü olarak bağlanıyor; en gizli varyant ise conhost.exe --headless ile konsol penceresini gizliyor ve dize değişkenlerini gecikmeli ortam değişkeni genişletmesiyle saklıyor.

Detaylar ve Etkileri

Ardından obfuscated PowerShell, %LocalAppData%\Temp altına masum bir isimle (örneğin LogiOptionsPlus) ZIP dosyası bırakıyor. Bir pythonw.exe ile Python betiği çalıştırılarak ekran görünmeden yükleniyor. Kalıcılık için yazılım güncellemesi gibi görünen gizli bir zamanlanmış görev oluşturuluyor, dosya zaman damgaları notepad.exe'den kopyalanıyor ve PowerShell geçmişi siliniyor. Son aşama, Windows Fiber API ile bellekten çalışıyor. Bazı durumlarda ikinci bir Python yükleyici, kamuya açık blockchain RPC uç noktalarına bağlanarak bir akıllı sözleşmeden C2 adresi alıyor (EtherHiding tekniği).

Her iki zincir de herhangi bir güvenlik açığı kullanmıyor; oturum açmış kullanıcının sahip olduğu izinleri miras alıyor. Bu nedenle yama yapmak saldırıyı engellemiyor. Microsoft, tuzakların işe yaradığını ancak kurban sayısı vermiyor. Red Canary'nin Nisan telemetrisine göre, ClearFake adlı web enjeksiyon kümesi en yaygın tehdit listesinde birinci sıraya yerleşirken, ACR Stealer altıncı sıraya yükseldi. ACR Stealer'ın Rusça konuşulan forumlarda SheldIO tarafından satıldığı ve Temmuz 2024'te satışların durdurulduğu biliniyor; kaynak kodunun akıbeti ise belirsiz.

Kaynak: thehackernews.com

Paylaş: