微软警告:ACR Stealer攻击激增

图片: BleepingComputer
简要回答
ACR Stealer是一种针对微软企业用户的恶意软件,专门窃取浏览器、云服务及企业系统中的密码、认证令牌与文档,采用MaaS模式运营。
微软近期发布安全警告,指出针对企业用户的ACR Stealer恶意软件攻击激增。今年4月至6月期间,攻击者频繁利用社交工程手法(如ClickFix)、WebDAV工具及MSHTA工具向受害者设备传播恶意代码。
ACR Stealer采用「恶意软件即服务」(MaaS)模式运作,微软数据显示其可能为知名Amatera Stealer的换皮版本。攻击的主要目标包括Chrome、Edge浏览器中的密码、Cookie、认证令牌等敏感数据,以及OneDrive、SharePoint等企业云存储中的文档。
攻击者采用多种恶意代码传播手段:第一种通过钓鱼邮件诱导受害者执行「修复错误」命令,该命令通过rundll32.exe加载远程WebDAV服务器上的DLL文件;第二种利用MSHTA工具下载并执行混淆的PowerShell脚本,该脚本从公开JPEG图片中提取加密的有效负载。
为隐藏活动踪迹,攻击者在WebDAV路径中使用GUID结构、伪造文件时间戳,并通过公共区块链服务获取更新的命令服务器地址。微软建议企业加强网络流量管控、封锁可疑域名,并限制来自不可信源的脚本执行权限。
专家同时建议通过应用控制规则限制PowerShell、Python、mshta.exe及rundll32.exe等工具的运行,尤其是来自用户目录的执行行为。微软报告中提供了详细的入侵指标(IOC)及防护建议清单。
常见问题
- 什么是ACR Stealer?
- ACR Stealer是一种恶意软件,专门窃取浏览器、云存储及企业系统中的敏感数据。它采用MaaS(恶意软件即服务)模式,疑似为Amatera Stealer的换皮版本。
- ACR Stealer如何传播?
- 攻击者通过社交工程(如ClickFix)、WebDAV服务器及MSHTA工具传播恶意代码,并使用混淆PowerShell脚本与隐写术隐藏活动。
- 如何防范ACR Stealer攻击?
- 建议封锁可疑域名、限制在线资源访问、使用应用控制规则,并避免执行来自不可信源的命令。
分享:
Dzen 订阅: /feed/dzen.xml · RSS: /feed.xml