ACR Stealer Uses ClickFix Lures to Steal Browser Tokens and Microsoft 365 Files
Der ACR Stealer, ein seit 2024 aktiver Infostealer, entwendet Browser-Tokens, Passwörter und Microsoft 365-Dateien aus Unternehmensnetzwerken. Die Infektion erfolgt oft durch das Ausführen eines Befehls in einem Run-Feld. Unternehmen sollten ihre Mitarbeiter sensibilisieren und Sicherheitsmaßnahmen verstärken, um sich vor solchen Angriffen zu schützen.
Der ACR Stealer, ein seit 2024 aktiver Infostealer, entwendet Browser-Tokens, Passwörter und Microsoft 365-Dateien aus Unternehmensnetzwerken. Die Infektion erfolgt oft durch das Ausführen eines Befehls in einem Run-Feld, oft durch ClickFix-Köder. Unternehmen sollten ihre Mitarbeiter sensibilisieren und Sicherheitsmaßnahmen verstärken, um sich vor solchen Angriffen zu schützen.
Unternehmen, deren Mitarbeiter durch Social Engineering dazu verleitet werden, unbekannte Befehle auszuführen.
Der ACR Stealer kann sensible Daten wie Browser-Tokens, Passwörter und Microsoft 365-Dateien (OneDrive, SharePoint) stehlen, was zu einem weitreichenden Datenverlust führen kann.
Kompletter Verlust von Browser-Tokens und Passwörtern, sowie der Diebstahl aller in Microsoft 365 (OneDrive, SharePoint) gespeicherten Dateien, was zu unbefugtem Zugriff auf Unternehmensressourcen und weiteren Kompromittierungen führen kann.
Mitarbeiter über Social Engineering-Taktiken aufklären und sie anweisen, keine unbekannten Befehle auszuführen. Sicherheitsmaßnahmen zur Erkennung und Verhinderung von Infostealer-Angriffen verstärken.
- ▸Überprüfen Sie, ob Ihre Endpoint Detection and Response (EDR)-Lösungen die Ausführung von Befehlen in Run-Feldern überwachen und alarmieren, insbesondere wenn diese von ungewöhnlichen Prozessen stammen.
- ▸Validieren Sie, ob Ihre Data Loss Prevention (DLP)-Lösungen den unbefugten Abfluss von Microsoft 365-Dateien (OneDrive, SharePoint) erkennen und blockieren können.
- ▸Testen Sie die Sensibilisierung Ihrer Mitarbeiter durch simulierte Phishing-Kampagnen, die versuchen, sie zur Ausführung von Befehlen zu verleiten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | ACR Stealer uses ClickFix lures to trick users into executing a command |
| Execution | T1059 Command and Scripting Interpreter | High | executing a command in a Run-field |
| Collection | T1539 Steal Web Session Cookie | High | theft of browser tokens |
| Collection | T1555 Credentials from Password Stores | High | theft of ... passwords |
| Collection | T1119 Automated Collection | High | theft of ... Microsoft 365 files |
- Es wird nicht spezifiziert, welche spezifischen Befehle ausgeführt werden.
- Es werden keine spezifischen CVEs oder IOCs genannt.
- Es werden keine spezifischen betroffenen Branchen oder Länder genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir SharePoint extern erreichbar?
- Können wir Collection detektieren?