Cyberprzestępcy opracowali nową metodę infekcji, która wykorzystuje zaawansowane techniki socjotechniczne do przejmowania wrażliwych danych użytkowników. Złośliwe oprogramowanie, zidentyfikowane jako ACR Stealer, koncentruje się na kradzieży plików z pakietu Microsoft 365 oraz tokenów sesji przechowywanych w przeglądarkach internetowych. Mechanizm ataku opiera się na tzw. technice ClickFix, która ma na celu nakłonienie użytkownika do samodzielnego uruchomienia szkodliwego kodu pod pozorem naprawy błędu systemowego.
Mechanizm ataku: od fałszywego błędu do infekcji
Proces infekcji rozpoczyna się od wyświetlenia użytkownikowi spreparowanego komunikatu o błędzie, który sugeruje problemy z wyświetlaniem strony lub działaniem przeglądarki. Cyberprzestępcy wykorzystują w tym celu fałszywe okna dialogowe, które imitują systemowe powiadomienia. Użytkownik, chcąc rozwiązać rzekomy problem, jest instruowany, aby skopiować i wkleić specjalnie przygotowany skrypt do konsoli PowerShell.
Technika ClickFix polega na wykorzystaniu zaufania użytkownika do komunikatów systemowych, zmuszając go do wykonania działań, które w normalnych warunkach zostałyby zablokowane przez zabezpieczenia przeglądarki.
Po wklejeniu kodu do konsoli, złośliwe oprogramowanie uzyskuje uprawnienia do działania w środowisku użytkownika. W ten sposób ACR Stealer omija standardowe zabezpieczenia, które zazwyczaj blokują automatyczne pobieranie i uruchamianie plików z nieznanych źródeł.
Co jest celem ACR Stealer?
Głównym celem oprogramowania jest ekstrakcja danych, które pozwalają na przejęcie kontroli nad kontami użytkowników bez konieczności znajomości hasła. Do najważniejszych celów ataku należą:
Skala zagrożenia i koszty
Choć technika ClickFix nie jest nowym zjawiskiem, jej połączenie z dedykowanym narzędziem typu stealer znacząco zwiększa skuteczność ataków. Warto zauważyć, że narzędzia tego typu są często oferowane na czarnym rynku w modelu subskrypcyjnym. Przykładowo, dostęp do podobnych rozwiązań typu Malware-as-a-Service (MaaS) kosztuje często około 250 dolarów miesięcznie, co w przeliczeniu daje kwotę rzędu 1000 złotych. Tak niska bariera wejścia sprawia, że coraz mniej zaawansowani technicznie przestępcy mogą przeprowadzać skuteczne kampanie wymierzone w użytkowników indywidualnych oraz pracowników firm.
Eksperci ds. cyberbezpieczeństwa podkreślają, że najlepszą metodą ochrony przed tego typu atakami jest zachowanie czujności wobec wszelkich komunikatów nakazujących kopiowanie kodu do konsoli systemowej. Żadna legalna usługa internetowa nie wymaga od użytkownika ręcznego uruchamiania skryptów PowerShell w celu naprawy błędów wyświetlania strony.

