Microsoft ostrzega przed wzrostem ataków z użyciem ACR Stealer - Security Bez Tabu

Microsoft ostrzega przed wzrostem ataków z użyciem ACR Stealer

Cybersecurity news

Wprowadzenie do problemu

ACR Stealer to złośliwe oprogramowanie typu infostealer, zaprojektowane do wykradania danych z urządzeń końcowych. Jego głównym celem są zapisane w przeglądarkach hasła, tokeny uwierzytelniające, ciasteczka sesyjne oraz dokumenty użytkowników, które mogą posłużyć do dalszych ataków na organizację.

Najnowsze obserwacje wskazują na wyraźny wzrost aktywności tej rodziny malware w środowiskach firmowych. Atakujący łączą socjotechnikę z wykorzystaniem natywnych narzędzi systemu Windows, co utrudnia wykrycie i zwiększa skuteczność kampanii.

W skrócie

Microsoft poinformował o nasileniu kampanii wykorzystujących ACR Stealer przeciwko klientom korporacyjnym. Aktywność była obserwowana od końca kwietnia do połowy czerwca 2026 roku i opierała się głównie na dwóch łańcuchach infekcji.

W obu wariantach ważną rolę odgrywała technika ClickFix, a także wykorzystanie WebDAV lub narzędzia MSHTA do uruchamiania silnie zaciemnionych skryptów PowerShell. Głównym celem operatorów pozostaje kradzież danych z przeglądarek, dokumentów biznesowych oraz plików z lokalnych i zsynchronizowanych katalogów użytkowników.

Kontekst i historia

ACR Stealer jest opisywany jako usługa malware-as-a-service, co oznacza, że jego twórcy mogą oferować narzędzie innym cyberprzestępcom w modelu abonamentowym lub partnerskim. Według dostępnych analiz istnieją przesłanki, że jest to rebranding wcześniej znanej rodziny Amatera Stealer.

Tego typu zmiany nazwy i infrastruktury są typowe dla współczesnego ekosystemu cyberprzestępczego. Utrudniają one korelację incydentów, spowalniają reakcję zespołów bezpieczeństwa i pozwalają operatorom malware szybciej odbudować działalność po ujawnieniu kampanii.

Kampanie powiązane z ACR Stealer wpisują się także w szerszy trend nadużywania legalnych komponentów systemowych. Zamiast klasycznych loaderów atakujący coraz częściej wykorzystują wbudowane narzędzia administracyjne i uruchamianie kodu w pamięci, aby ograniczyć liczbę artefaktów na dysku.

Analiza techniczna

Microsoft wskazał dwa najczęściej obserwowane łańcuchy dostarczenia ACR Stealer. Pierwszy rozpoczyna się od przynęty ClickFix, w której użytkownik jest nakłaniany do wykonania polecenia mającego rzekomo rozwiązać problem techniczny lub potwierdzić, że nie jest botem.

W praktyce takie działanie uruchamia zdalną bibliotekę DLL pobieraną z udziału WebDAV przy użyciu rundll32.exe. Atakujący konstruują ścieżki WebDAV tak, aby przypominały legalne zasoby, wykorzystując między innymi struktury katalogów oparte na identyfikatorach GUID.

Po nawiązaniu łączności z infrastrukturą kontrolowaną przez napastników wykonywany jest silnie zaciemniony skrypt PowerShell. Jego zadaniem jest uruchomienie instalatora malware, ustanowienie trwałości oraz przygotowanie środowiska do działania końcowego ładunku.

Mechanizmy persistence obejmują między innymi instalację dołączonego loadera w Pythonie, utworzenie zaplanowanego zadania podszywającego się pod aktualizację oprogramowania, manipulację znacznikami czasu oraz czyszczenie historii PowerShell. Ostatecznie ładunek jest wstrzykiwany do procesu systemowego i uruchamiany w pamięci.

Drugi łańcuch infekcji również wykorzystuje ClickFix, ale prowadzi do uruchomienia MSHTA, które pobiera złośliwą zawartość z serwera atakującego. Następnie wykonywany jest kolejny zaciemniony downloader PowerShell, a zaszyfrowany payload może zostać ukryty w publicznie hostowanym obrazie JPEG z użyciem steganografii.

Z punktu widzenia funkcjonalności ACR Stealer koncentruje się na przejęciu danych o wysokiej wartości:

  • haseł, cookies, tokenów i danych sesyjnych z przeglądarek,
  • danych chronionych przez DPAPI,
  • baz danych przeglądarek opartych na Chromium, takich jak Chrome i Edge,
  • dokumentów PDF oraz plików Microsoft 365,
  • plików z katalogów Pulpit i Pobrane,
  • danych z katalogów synchronizowanych z OneDrive i SharePoint.

Dodatkowo niektóre warianty wykorzystują publiczne usługi blockchain jako mechanizm dead-drop resolver do pobierania aktualnych lokalizacji payloadów lub adresów infrastruktury C2. Takie podejście zwiększa odporność zaplecza atakujących na blokowanie i utrudnia analizę ruchu.

Konsekwencje i ryzyko

Ryzyko związane z ACR Stealer wykracza daleko poza samą kradzież haseł. Pozyskane tokeny sesyjne, cookies i dane uwierzytelniające mogą umożliwić przejęcie aktywnych sesji bez konieczności ponownego logowania, a w niektórych scenariuszach także obejście części zabezpieczeń MFA.

Dla organizacji oznacza to możliwość szybkiej eskalacji incydentu od infekcji pojedynczej stacji roboczej do naruszenia usług chmurowych, repozytoriów dokumentów i zasobów współdzielonych. Szczególnie niebezpieczne jest ukierunkowanie na lokalnie zsynchronizowane katalogi OneDrive i SharePoint.

W praktyce może to prowadzić do wycieku dokumentacji projektowej, danych finansowych, materiałów HR, umów oraz informacji handlowych. Infostealer tego typu często stanowi etap wstępny przed sprzedażą dostępu, phishingiem wewnętrznym, oszustwami BEC lub wdrożeniem ransomware.

Dodatkowym problemem jest wykorzystanie legalnych narzędzi administracyjnych, takich jak PowerShell, MSHTA czy rundll32.exe. Bez dojrzałych mechanizmów detekcji behawioralnej odróżnienie aktywności złośliwej od administracyjnej może być bardzo trudne.

Rekomendacje

Organizacje powinny zacząć od ograniczenia skuteczności wektorów socjotechnicznych. Kluczowe jest szkolenie użytkowników, aby nie kopiowali i nie uruchamiali poleceń wyświetlanych przez fałszywe komunikaty, wyskakujące okna czy strony podszywające się pod mechanizmy weryfikacji.

Od strony technicznej warto wdrożyć następujące środki ochrony:

  • blokowanie lub ograniczanie uruchamiania mshta.exe, rundll32.exe, powershell.exe oraz interpreterów Python w kontekstach użytkownika, jeśli nie są niezbędne biznesowo,
  • stosowanie reguł Application Control oraz polityk WDAC lub AppLocker dla ścieżek zapisywalnych przez użytkownika i zasobów zdalnych,
  • filtrowanie ruchu do nowych, niskoreputacyjnych i nieuzasadnionych biznesowo domen,
  • monitorowanie dostępu do udziałów WebDAV oraz nietypowego pobierania bibliotek DLL z lokalizacji zdalnych,
  • wykrywanie tworzenia zaplanowanych zadań podszywających się pod aktualizacje,
  • analizę pamięci i telemetrii EDR pod kątem wstrzykiwania kodu do procesów systemowych,
  • audyt dostępu do danych przeglądarek Chromium i operacji na DPAPI,
  • wzmocnienie ochrony tożsamości, w tym skrócenie czasu życia sesji, wdrożenie odpornych na phishing metod MFA oraz monitorowanie tokenów.

Po wykryciu potencjalnej infekcji incydent należy traktować jako kompromitację danych uwierzytelniających, a nie wyłącznie obecność malware na urządzeniu. Oznacza to konieczność unieważnienia sesji, resetu haseł, przeglądu kont uprzywilejowanych oraz analizy możliwej eksfiltracji danych z usług Microsoft 365, OneDrive i SharePoint.

Podsumowanie

Wzrost aktywności ACR Stealer pokazuje, że infostealery pozostają jednymi z najbardziej opłacalnych i niebezpiecznych narzędzi cyberprzestępców. Skuteczność tej kampanii wynika z połączenia socjotechniki, nadużycia natywnych komponentów Windows, uruchamiania ładunku w pamięci oraz precyzyjnego wyboru danych o wysokiej wartości.

Dla zespołów bezpieczeństwa oznacza to konieczność jednoczesnego wzmacniania świadomości użytkowników, kontroli uruchamiania aplikacji, monitoringu behawioralnego oraz ochrony tożsamości i danych chmurowych. Organizacje, które zlekceważą zagrożenie ze strony infostealerów, ryzykują szybkie przejście od pojedynczej infekcji do pełnoskalowego incydentu naruszenia danych.

Źródła

  1. Microsoft warns of surge in ACR Stealer attacks on customers — https://www.bleepingcomputer.com/news/security/microsoft-warns-of-surge-in-acr-stealer-attacks-on-customers/
  2. Microsoft Security Blog — https://www.microsoft.com/en-us/security/blog/
  3. Scaling cybercrime disruption through innovation and AI — https://blogs.microsoft.com/on-the-issues/2026/06/24/scaling-cybercrime-disruption-through-innovation-and-ai/