SecBoard
Zurück zur Übersicht

ACR Stealer Uses ClickFix Lures to Steal Browser Tokens and Microsoft 365 Files

The Hacker News·
Originalartikel lesen bei The Hacker News

Der ACR Stealer, ein seit 2024 aktiver Infostealer, entwendet Browser-Tokens, Passwörter und Microsoft 365-Dateien aus Unternehmensnetzwerken. Die Infektion erfolgt oft durch das Ausführen eines Befehls in einem Run-Feld. Unternehmen sollten ihre Mitarbeiter sensibilisieren und Sicherheitsmaßnahmen verstärken, um sich vor solchen Angriffen zu schützen.

Kurzfassung

Der ACR Stealer, ein seit 2024 aktiver Infostealer, entwendet Browser-Tokens, Passwörter und Microsoft 365-Dateien aus Unternehmensnetzwerken. Die Infektion erfolgt oft durch das Ausführen eines Befehls in einem Run-Feld, oft durch ClickFix-Köder. Unternehmen sollten ihre Mitarbeiter sensibilisieren und Sicherheitsmaßnahmen verstärken, um sich vor solchen Angriffen zu schützen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Unternehmen, deren Mitarbeiter durch Social Engineering dazu verleitet werden, unbekannte Befehle auszuführen.

Warum relevant

Der ACR Stealer kann sensible Daten wie Browser-Tokens, Passwörter und Microsoft 365-Dateien (OneDrive, SharePoint) stehlen, was zu einem weitreichenden Datenverlust führen kann.

Realistisches Worst Case

Kompletter Verlust von Browser-Tokens und Passwörtern, sowie der Diebstahl aller in Microsoft 365 (OneDrive, SharePoint) gespeicherten Dateien, was zu unbefugtem Zugriff auf Unternehmensressourcen und weiteren Kompromittierungen führen kann.

Handlungsempfehlung

Mitarbeiter über Social Engineering-Taktiken aufklären und sie anweisen, keine unbekannten Befehle auszuführen. Sicherheitsmaßnahmen zur Erkennung und Verhinderung von Infostealer-Angriffen verstärken.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre Endpoint Detection and Response (EDR)-Lösungen die Ausführung von Befehlen in Run-Feldern überwachen und alarmieren, insbesondere wenn diese von ungewöhnlichen Prozessen stammen.
  • Validieren Sie, ob Ihre Data Loss Prevention (DLP)-Lösungen den unbefugten Abfluss von Microsoft 365-Dateien (OneDrive, SharePoint) erkennen und blockieren können.
  • Testen Sie die Sensibilisierung Ihrer Mitarbeiter durch simulierte Phishing-Kampagnen, die versuchen, sie zur Ausführung von Befehlen zu verleiten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighACR Stealer uses ClickFix lures to trick users into executing a command
ExecutionT1059 Command and Scripting InterpreterHighexecuting a command in a Run-field
CollectionT1539 Steal Web Session CookieHightheft of browser tokens
CollectionT1555 Credentials from Password StoresHightheft of ... passwords
CollectionT1119 Automated CollectionHightheft of ... Microsoft 365 files
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Befehle ausgeführt werden.
  • Es werden keine spezifischen CVEs oder IOCs genannt.
  • Es werden keine spezifischen betroffenen Branchen oder Länder genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir SharePoint extern erreichbar?
  • Können wir Collection detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)