V-Help
← Все новости
Безопасность

Microsoft предупреждает о росте атак с использованием ACR Stealer

Microsoft предупреждает о росте атак с использованием ACR Stealer

Фото: BleepingComputer

Краткий ответ

ACR Stealer — вредоносное ПО, активно атакующее корпоративных пользователей Microsoft для кражи паролей, токенов и документов.

Корпорация Microsoft предупредила о значительном увеличении числа кибератак с использованием вредоносного ПО ACR Stealer, нацеленного на корпоративных клиентов. С апреля по июнь текущего года злоумышленники активно применяли методы социальной инженерии, такие как ClickFix, а также инструменты WebDAV и MSHTA для доставки вредоносного кода на устройства жертв.

ACR Stealer работает по модели «вредоносное ПО как услуга» (MaaS) и, по данным Microsoft, может быть ребрендингом известного Amatera Stealer. Основная цель атак — кража паролей, cookies, токенов аутентификации и других конфиденциальных данных, хранящихся в браузерах Chrome и Edge, а также в корпоративных облачных хранилищах OneDrive и SharePoint*.

Злоумышленники используют несколько методов доставки вредоносного ПО. В первом случае атака начинается с фишинговой рассылки, где жертве предлагается выполнить команду для «исправления ошибки». Эта команда запускает DLL-файл с удалённого WebDAV-сервера через rundll32.exe. Во втором сценарии используется утилита MSHTA для загрузки и выполнения обфусцированного PowerShell-скрипта, который извлекает зашифрованную полезную нагрузку из публично доступного изображения в формате JPEG.

Для сокрытия активности злоумышленники применяют GUID-структуры в путях WebDAV, подменяют временные метки файлов и используют публичные блокчейн-сервисы для получения обновлённых адресов командных серверов. Microsoft рекомендует организациям ужесточить контроль за сетевым трафиком, блокировать доступ к подозрительным доменам и ограничивать запуск скриптов из ненадёжных источников.

Эксперты также советуют использовать правила контроля приложений для ограничения запуска таких инструментов, как PowerShell, Python, mshta.exe и rundll32.exe, особенно из пользовательских каталогов. Подробный список индикаторов компрометации и рекомендаций по защите доступен в отчёте Microsoft.

Частые вопросы

Что такое ACR Stealer?
ACR Stealer — это вредоносное ПО, предназначенное для кражи данных из браузеров, облачных хранилищ и корпоративных систем. Оно работает по модели MaaS (Malware-as-a-Service) и, вероятно, является ребрендингом Amatera Stealer.
Как распространяется ACR Stealer?
Злоумышленники используют методы социальной инженерии (ClickFix), WebDAV-серверы и утилиту MSHTA для доставки вредоносного кода. Также применяются обфусцированные PowerShell-скрипты и стеганография для сокрытия активности.
Как защититься от атак ACR Stealer?
Рекомендуется блокировать подозрительные домены, ограничивать доступ к ненужным онлайн-ресурсам, использовать правила контроля приложений и избегать выполнения команд из ненадёжных источников.
Поделиться:

Лента для Дзен: /feed/dzen.xml · RSS: /feed.xml

Почему этому можно верить

Материал подготовлен редакцией V-Help на основе первоисточника с указанием даты публикации.

Публикация: Новостной отдел V-Help.ru

Источник материала: BleepingComputer