ACR Stealer: Thủ đoạn ‘ClickFix’ lừa người dùng thực thi mã độc để đánh cắp dữ liệu
Chiến dịch tấn công của ACR Stealer đang gia tăng mạnh mẽ thông qua kỹ thuật 'ClickFix', lừa người dùng tự tay chạy lệnh độc hại để đánh cắp thông tin đăng nhập và dữ liệu nhạy...
ACR Stealer, một loại mã độc đánh cắp thông tin (infostealer) xuất hiện từ năm 2024, đang trở thành mối đe dọa nghiêm trọng đối với các doanh nghiệp. Mã độc này có khả năng thu thập mật khẩu trình duyệt, session token, tài liệu Microsoft 365, cũng như dữ liệu từ OneDrive và SharePoint.
Table Of Content
Cơ chế tấn công: Không cần lỗ hổng, chỉ cần sự thiếu cảnh giác
Điểm đáng chú ý là ACR Stealer không khai thác bất kỳ lỗ hổng zero-day hay CVE nào. Thay vào đó, kẻ tấn công sử dụng các chiêu trò ClickFix để lừa người dùng copy và dán một đoạn mã độc hại vào hộp thoại Run trên Windows. Microsoft cho biết các chiến dịch này đang hoạt động hiệu quả thông qua các quảng cáo giả mạo hoặc kết quả tìm kiếm bị thao túng SEO.
Hai phương thức thực thi chính
Microsoft Defender Experts đã ghi nhận hai chuỗi tấn công chính:
- Phương thức Fileless (không để lại dấu vết trên ổ cứng): Sử dụng
mshta.exeđể thực thi VBScript, sau đó giải mã và chạy PowerShell trong bộ nhớ. Mã độc này thậm chí còn ẩn payload bên trong các tệp ảnh JPEG. Sau khi xâm nhập, nó truy cập vào cơ sở dữ liệu của Chrome và Edge để giải mã mật khẩu và cookie bằng DPAPI. - Phương thức để lại dấu vết: Tải xuống một file DLL từ các WebDAV share thông qua HTTPS. Một số biến thể sử dụng lệnh
pushdđể mount ổ đĩa từ xa thành ổ đĩa cục bộ, giúp việc thực thi trông giống như một tiến trình hợp lệ. Sau đó, mã độc sử dụng Python để duy trì sự hiện diện thông qua các tác vụ lên lịch (scheduled task) giả mạo bản cập nhật phần mềm.
Kỹ thuật ẩn mình tinh vi
Trong một số trường hợp, kẻ tấn công sử dụng kỹ thuật EtherHiding, lưu trữ các con trỏ điều khiển (C2) trên các hợp đồng thông minh (smart contract) của blockchain công khai, khiến việc ngăn chặn từ phía máy chủ trở nên cực kỳ khó khăn.
Khuyến nghị bảo mật
Vì cuộc tấn công dựa vào hành vi người dùng, các biện pháp phòng thủ cần tập trung vào việc hạn chế quyền thực thi:
- Vô hiệu hóa hộp thoại Run: Sử dụng GPO để ẩn Run prompt và hạn chế quyền truy cập
mshta.exethông qua AppLocker hoặc WDAC. - Kiểm soát ứng dụng: Thiết lập quy tắc để ngăn chặn PowerShell, Python,
mshta.exevàrundll32.exekhởi chạy nội dung từ internet hoặc các thư mục tạm (Downloads, Temp). - Phản ứng sự cố: Nếu phát hiện nhiễm mã độc, cần ngay lập tức cô lập máy chủ, thu hồi toàn bộ session token và thay đổi thông tin xác thực, thay vì chỉ đổi mật khẩu đơn thuần.
Các chuyên gia nhận định rằng ACR Stealer (còn được biết đến với tên gọi Amatera Stealer) là một ví dụ điển hình cho thấy kỹ thuật tấn công không cần exploit vẫn có thể gây thiệt hại lớn nếu người dùng thiếu cảnh giác trước các yêu cầu thực thi lệnh không rõ nguồn gốc.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.