🔥 Fique por dentro das novidades mais quentes do momento! 🔥

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft observou um aumento nos ataques usando o malware ACR Stealer para roubar senhas armazenadas em navegadores, tokens de autenticação e documentos confidenciais de seus clientes corporativos.

Entre o final de abril e meados de junho, o agente da ameaça usou o método de engenharia social ClickFix, servidores WebDAV e o utilitário MSHTA (Microsoft HTML Application Host) para entregar a carga útil de roubo de informações.

ACR Stealer é uma operação de malware como serviço (MaaS) que se acredita ser uma reformulação da marca do malware Amatera Stealer.



Ataques de ladrão ACR

Embora existam vários métodos de entrega do malware, a Microsoft destaca duas cadeias de intrusão como as mais prevalentes para o ACR Stealer.

A primeira campanha começa com uma isca ClickFix que executa um comando para executar uma DLL maliciosa de um compartilhamento WebDAV remoto usando rundll32.exe.

Atores de ameaças que abusam do WebDAV são uma tática comum, vista em ataques anteriores que entregaram malware Bumblebee e Voldemort.

Em um relatório esta semana, a Microsoft afirma que o agente da ameaça normalmente usa uma estrutura de diretórios baseada em GUID e nomes de arquivos no caminho WebDAV para imitar recursos legítimos (por exemplo, google.ct) e combinar a atividade com o tráfego de rede esperado.

Depois de estabelecer comunicação com a infraestrutura de comando e controle (C2), “um script PowerShell altamente ofuscado” é executado para iniciar um instalador de malware e estabelecer persistência.

A rotina instala um carregador Python incluído, cria uma tarefa agendada mascarada como uma atualização de software, manipula carimbos de data/hora, limpa o histórico do PowerShell e injeta a carga final em um processo do sistema para execução na memória.

Algumas variantes usam serviços públicos de blockchain como resolvedores dead-drop para obter locais de carga útil atualizados ou endereços C2, uma técnica popular também conhecida como “EtherHiding”.

Para a segunda cadeia de entrega, o agente da ameaça usa ClickFix para iniciar o MSHTA, que recupera conteúdo malicioso do servidor do invasor e executa um downloader ofuscado do PowerShell.

O malware então extrai uma carga criptografada escondida dentro de uma imagem JPEG esteganográfica hospedada publicamente e a executa diretamente na memória.

Apesar das diferenças, o objetivo continua sendo o roubo de dados sensíveis:

Roubar senhas, cookies, dados de sessão e tokens de autenticação armazenados em navegadores da web

Descriptografe os dados do navegador por meio da API de proteção de dados do Windows DPAPI

Acesse os bancos de dados do navegador Chromium no Chrome e Edge

Pesquise PDFs e documentos do Microsoft 365

Colete arquivos das pastas Desktop e Downloads

Direcionar diretórios do OneDrive e do SharePoint sincronizados para empresas

Todos os dados são coletados e arquivados em preparação para serem filtrados para o invasor.

Visão geral dos ataques do ACR StealerFonte: Microsoft

“Essas duas campanhas representam algumas das campanhas de entrega de ACR Stealer mais prevalentes observadas pelos Defender Experts; no entanto, elas não representam toda a gama de métodos de entrega usados por esta família de malware”, alerta a Microsoft, observando que é muito provável que existam cadeias de execução adicionais.

Como regra geral de defesa contra ataques ClickFix, os usuários devem evitar copiar e executar instruções em interpretadores de comandos, especialmente quando afirmam corrigir um erro ou verificar se são humanos.

A Microsoft recomenda que as organizações reduzam a exposição a cadeias de entrega baseadas na Web, aplicando filtros, bloqueando domínios novos ou de baixa reputação e restringindo o acesso a recursos online que não são necessários para operações comerciais.

As regras de controle de aplicativos podem restringir a inicialização de conteúdo de um recurso remoto usando ferramentas como PowerShell, Python, mshta.exe ou rundll32.exe, especialmente de caminhos graváveis ​​pelo usuário.

O relatório da Microsoft fornece uma lista maior de mitigações recomendadas, juntamente com um conjunto de indicadores de comprometimento específicos para a atividade observada do ACR Stealer.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o white paper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #microsoft #alerta #sobre #aumento #de #ataques #de #acr #stealer #a #clientes
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡

Post a Comment