ACR Stealer Saldırıları: Artan Tehdit
Microsoft, ACR Stealer kötü amaçlı yazılımını kullanarak kurumsal müşterilerinin tarayıcıda saklanan şifreleri, kimlik doğrulama belirteçlerini ve hassas belgeleri çalmaya yönelik saldırılarda önemli bir artış gözlemledi. Bu tehdit, siber güvenlik alanında ciddi bir endişe yaratmakta ve dikkatle izlenmesi gerekmektedir.
Saldırı Nasıl Çalışıyor?
ACR Stealer, birkaç dağıtım yöntemiyle aktarılmakta; ancak Microsoft, ACR Stealer için en yaygın iki saldırı zincirini vurgulamaktadır. İlk kampanya, ClickFix tuzağı ile başlamakta ve kötü niyetli bir DLL dosyasını uzaktan WebDAV paylaşımından çalıştırmak için rundll32.exe komutunu kullanmaktadır.
- WebDAV kullanımı, geçmişteki Bumblebee ve Voldemort saldırılarında görülen yaygın bir taktiktir.
- Tehdit aktörleri genellikle GUID tabanlı dizin yapısı ve dosya adları kullanarak meşru kaynakları taklit etmektedir (örneğin, google.ct).
- Komut ve kontrol (C2) altyapısı ile iletişim kurulduktan sonra, “aşırı obfuscate edilmiş bir PowerShell scripti” çalıştırılmakta ve kötü amaçlı yazılım kurucusu başlatılmaktadır.
Kampanya, bir Python yükleyici ve bir yazılım güncellemesi olarak maskelemek amacıyla zaman damgalarını manipüle eden bir programlama görevi oluşturur. Bazı varyantlar, güncel yük konumlarını veya C2 adreslerini elde etmek için genel blockchain hizmetlerini kullanarak bu duruma “EtherHiding” denilmektedir.
İkinci dağıtım zincirinde, tehdit aktörü ClickFix‘i kullanarak MSHTA‘yı başlatmakta ve saldırganın sunucusundan kötü niyetli içerik alarak obfuske edilmiş bir PowerShell indiricisini çalıştırmaktadır.
Etkilenen Sistemler
Kötü amaçlı yazılım, güvenlik açığı olan sistemlerde aşağıdaki hassas verileri hedef alır:
- Tarayıcıda saklanan şifreler, çerezler, oturum verileri ve kimlik doğrulama jetonları çalmak
- Windows Veri Koruma API’si DPAPI aracılığıyla tarayıcı verilerini şifrelerini çözmek
- Chrome ve Edge’in Chromium tarayıcı veritabanlarına erişim sağlamak
- PDF ve Microsoft 365 belgelerini aramak
- Masaüstü ve İndirilenler klasörlerinden dosyalar toplamak
- Kurumsal senkronize OneDrive ve SharePoint dizinlerini hedeflemek
Tüm bu veriler toplandıktan sonra bir arşiv haline getirilir ve saldırganlara aktarılması için hazırlanır.
Çözüm ve Korunma
Microsoft, ClickFix saldırılarına karşı genel bir savunma kuralı olarak kullanıcıların, hataları düzeltme veya insan olduğunu doğrulama iddiasında bulunan komut yorumlayıcılarında talimatları kopyalayıp çalıştırmamalarını önermektedir. Ayrıca, kurumsal ortamların web tabanlı dağıtım zincirlerine karşı maruziyeti azaltmak için şu önlemler alınmalıdır:
- Filtrelerin uygulanması ve düşük itibarlı veya yeni alanların engellenmesi
- İş operasyonları için gerekli olmayan çevrimiçi kaynaklara erişim sınırlanması
- PowerShell , Python , mshta.exe veya rundll32.exe gibi araçlardan uzaktan kaynaklardan içerik çalıştırılmasını kısıtlamak için uygulama kontrol kurallarının kullanılması
Microsoft’un raporu, gözlemlenen ACR Stealer aktivitelerine özel bir dizi tehlike göstergesi ve önerilen önlemlerle birlikte daha geniş bir liste sunmaktadır.
Sonuç
Kurumsal sistemlerinizin ACR Stealer saldırısından korunmasını sağlamak için, hemen tarayıcılarınızı güncelleyin, düşük güvenilir alanları engelleyin ve gereksiz uzaktan erişimleri kapatın. Güvenlik protokollerini gözden geçirerek, düzenli siber güvenlik eğitimi ile farkındalığı artırmayı unutmayın.


