ACR Stealer i ClickFix: jak cyberprzestępcy kradną tokeny przeglądarek oraz pliki Microsoft 365 - Security Bez Tabu

ACR Stealer i ClickFix: jak cyberprzestępcy kradną tokeny przeglądarek oraz pliki Microsoft 365

Cybersecurity news

Wprowadzenie do problemu / definicja

ACR Stealer to złośliwe oprogramowanie typu infostealer, zaprojektowane do kradzieży danych uwierzytelniających, ciasteczek, tokenów sesyjnych oraz plików przechowywanych na stacjach roboczych z systemem Windows. Najnowsze kampanie pokazują, że zagrożenie jest dystrybuowane z użyciem techniki ClickFix, czyli scenariusza socjotechnicznego, w którym użytkownik sam kopiuje i uruchamia złośliwe polecenie. Taki model ataku pozwala ominąć część klasycznych mechanizmów ochronnych koncentrujących się głównie na exploitach lub podejrzanych załącznikach.

W praktyce oznacza to przesunięcie ciężaru ataku z podatności technicznych na manipulację użytkownikiem. To szczególnie niebezpieczne dla organizacji korzystających z usług chmurowych, ponieważ przejęcie aktywnych tokenów sesyjnych może umożliwić dostęp do zasobów bez konieczności znajomości hasła.

W skrócie

Obserwowane kampanie ACR Stealer wykorzystują co najmniej dwa łańcuchy infekcji oparte na przynętach ClickFix. Jeden działa niemal bezplikowo i uruchamia kolejne etapy głównie w pamięci, a drugi pozostawia więcej śladów na dysku, wykorzystując m.in. WebDAV, PowerShell oraz interpreter Python.

  • Malware kradnie zapisane hasła, cookies i tokeny z przeglądarek Chromium.
  • Atakujący pozyskują również dokumenty PDF oraz pliki z katalogów synchronizowanych z OneDrive i SharePoint.
  • Kampania nie wymaga wykorzystania luki CVE, opiera się przede wszystkim na skutecznej socjotechnice.
  • Największym ryzykiem jest przejęcie tożsamości użytkownika i dostęp do usług Microsoft 365.

Kontekst / historia

ACR Stealer jest obecny co najmniej od 2024 roku i zyskał rozpoznawalność jako narzędzie wyspecjalizowane w kradzieży danych z przeglądarek oraz środowiska użytkownika. W kolejnych analizach badacze wiązali tę rodzinę z aktywnością na rosyjskojęzycznych forach cyberprzestępczych, a następnie z jej rozwojem i rebrandingiem do wariantu określanego jako Amatera Stealer.

W 2026 roku wyraźnie wzrosła liczba kampanii wykorzystujących techniki ClickFix, fałszywe CAPTCHA i strony podszywające się pod legalne usługi. ACR Stealer wpisuje się w ten trend, łącząc wiarygodne przynęty z instrukcją ręcznego uruchomienia polecenia w systemie Windows. Z perspektywy obrony jest to istotna zmiana, ponieważ punkt wejścia do ataku nie wynika z błędu w oprogramowaniu, lecz z zachowania użytkownika.

Analiza techniczna

W pierwszym, bardziej bezplikowym scenariuszu infekcji ofiara uruchamia polecenie inicjujące proces mshta.exe, który pobiera zdalną zawartość HTA. Następnie loader oparty na VBScript wykorzystuje obiekty COM do dekodowania i uruchamiania kodu PowerShell. Kolejne etapy mogą generować identyfikator ofiary, modyfikować zachowanie walidacji certyfikatów oraz pobierać dalszy ładunek bezpośrednio do pamięci.

Na szczególną uwagę zasługuje ukrywanie właściwego payloadu w pliku JPEG. Złośliwy kod zostaje osadzony w danych obrazu, a potem wyodrębniony, odszyfrowany, zdekompresowany i uruchomiony refleksyjnie. To utrudnia analizę statyczną i pozwala ukryć niebezpieczną zawartość w obiekcie, który na pierwszy rzut oka wygląda całkowicie nieszkodliwie.

Po wykonaniu malware koncentruje się na przejęciu danych z przeglądarek Chromium, zwłaszcza Chrome i Edge. Odczytuje bazy Login Data i Web Data, a następnie wykorzystuje mechanizmy DPAPI do odszyfrowania zapisanych haseł, ciasteczek oraz tokenów sesyjnych. W wielu przypadkach to właśnie kradzież tokenów stanowi większe zagrożenie niż sama utrata hasła, ponieważ umożliwia przejęcie aktywnej sesji użytkownika.

Drugi zaobserwowany wariant pozostawia więcej artefaktów na dysku. Złośliwe polecenie pobiera bibliotekę DLL z udziału WebDAV po HTTPS, często pod nazwą imitującą legalny plik. Uruchomienie może odbywać się przez rundll32.exe, czasem po wcześniejszym zmapowaniu udziału jako tymczasowego dysku przy użyciu pushd. W bardziej ukrytych wersjach pojawiają się dodatkowe techniki maskujące, takie jak uruchamianie z użyciem conhost.exe --headless, obfuskacja ciągów znaków oraz opóźnione rozwijanie zmiennych środowiskowych.

Dalszy etap obejmuje obfuskowany PowerShell, który zapisuje archiwum ZIP w katalogach tymczasowych, a następnie uruchamia dostarczony interpreter pythonw.exe wraz ze skryptem Pythona. Dzięki temu użytkownik nie widzi klasycznego okna konsoli, co zmniejsza szansę wykrycia infekcji. Malware może także usuwać starsze wersje własnych komponentów, tworzyć ukryte zadania harmonogramu podszywające się pod aktualizacje, kopiować znaczniki czasu z legalnych plików systemowych oraz czyścić historię PowerShell.

W części kampanii odnotowano również wykorzystanie techniki EtherHiding. Polega ona na użyciu publicznej infrastruktury blockchain lub smart kontraktów do przechowywania wskaźników do kolejnych etapów infekcji albo adresów infrastruktury sterującej. Dla obrońców oznacza to utrudnioną neutralizację, ponieważ znika pojedynczy, łatwy do odcięcia punkt dystrybucji.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją infekcji jest przejęcie tożsamości użytkownika oraz dostępu do zasobów organizacji bez wykorzystywania klasycznej luki bezpieczeństwa. Kradzież haseł, cookies i tokenów otwiera drogę do przejęcia kont SaaS, skrzynek pocztowych, paneli administracyjnych oraz sesji w usługach Microsoft 365.

Jeżeli użytkownik synchronizuje dane przez OneDrive lub SharePoint, zagrożenie obejmuje również dokumenty biznesowe, pliki PDF i inne materiały o wysokiej wartości. W efekcie incydent może szybko przekształcić się z lokalnego naruszenia stacji roboczej w kompromitację danych firmowych oraz środowiska chmurowego.

Z perspektywy SOC i zespołów reagowania problem jest trudny, ponieważ początkowy wektor opiera się na legalnym działaniu użytkownika, część łańcucha działa w pamięci, a atak wykorzystuje legalne narzędzia systemowe. To utrudnia odróżnienie aktywności złośliwej od administracyjnej oraz wydłuża czas wykrycia incydentu.

Rekomendacje

Organizacje powinny przede wszystkim ograniczyć sam wektor „paste-and-run”. W praktyce oznacza to blokowanie lub zawężanie dostępu do okna „Uruchom” za pomocą polityk GPO oraz wdrożenie kontroli aplikacyjnej dla binariów i interpreterów najczęściej nadużywanych w tego typu kampaniach.

  • Ograniczyć lub zablokować użycie mshta.exe, rundll32.exe, PowerShell i interpreterów skryptowych tam, gdzie nie są niezbędne.
  • Wdrożyć AppLocker lub WDAC w środowiskach o wyższych wymaganiach bezpieczeństwa.
  • Stosować reguły Attack Surface Reduction oraz monitoring uruchomień z katalogów Downloads, Temp i %LocalAppData%.
  • Nadawać wysoki priorytet detekcyjny uruchomieniom mshta.exe z parametrami sieciowymi, procesom pythonw.exe, nietypowym łańcuchom rodzic–dziecko oraz mapowaniu udziałów WebDAV.
  • Monitorować tworzenie zadań harmonogramu podszywających się pod aktualizacje, czyszczenie historii PowerShell, timestomping i refleksyjne ładowanie modułów.

Równie ważna jest warstwa tożsamości. Sama zmiana hasła po incydencie może nie wystarczyć, jeśli atakujący przejęli aktywne tokeny sesyjne. Dlatego konieczne jest skracanie czasu życia sesji, stosowanie warunkowego dostępu, szybkie unieważnianie tokenów oraz analiza logów logowania do usług chmurowych.

Nie można też pomijać edukacji użytkowników. Szkolenia powinny jednoznacznie wskazywać, że żadna wiarygodna strona internetowa, reklama ani komunikat pomocy technicznej nie powinny wymagać ręcznego wklejania poleceń do okna „Uruchom” lub terminala.

Podsumowanie

Kampanie ACR Stealer pokazują, że skuteczny atak nie musi opierać się na exploicie. Połączenie socjotechniki ClickFix, legalnych narzędzi systemowych, wykonywania kodu w pamięci oraz kradzieży tokenów sesyjnych tworzy model szczególnie groźny dla organizacji korzystających z usług chmurowych i Microsoft 365.

Najważniejszy wniosek jest praktyczny: skuteczna obrona wymaga równoczesnego podejścia do użytkownika, punktu końcowego i warstwy tożsamości. Blokowanie ryzykownych binariów, monitoring nietypowych łańcuchów procesów oraz szybkie unieważnianie przejętych sesji stają się dziś równie ważne jak tradycyjna ochrona antymalware.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/07/acr-stealer-uses-clickfix-lures-to.html
  2. Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/product/microsoft-defender-experts-for-xdr/
  3. Red Canary — https://redcanary.com/blog/threat-intelligence/intelligence-insights-may-2026/
  4. SANS — https://www.sans.org/newsletters/at-risk/xxvi-21
  5. Proofpoint — https://www.proofpoint.com/us/blog/threat-insight/amatera-stealer-rebranded-acr-stealer-improved-evasion-sophistication