Giriş
ACR Stealer, 2024 yılından bu yana faal olan bir bilgi hırsızı, kurumsal ağlardan kaydedilmiş tarayıcı şifrelerini, canlı oturum belirteçlerini, PDF’leri ve Microsoft 365 belgelerini çalmaktadır. Bu durum, siber güvenlik açısından kritik bir tehdit oluşturmakta ve kullanıcıların verilerinin güvenliğini tehlikeye atmaktadır.
Saldırı Nasıl Çalışıyor?
ACR Stealer, kullanıcıdan kopyalanan bir komutun “Çalıştır” kutusuna yapıştırılması ve “Enter” tuşuna basılması ile sisteme sızmaktadır. Microsoft’un raporuna göre, iki farklı dağıtım zinciri gözlemlenmiş olup, biri diskte iz bırakırken diğeri neredeyse tamamen bellek içinde çalışmaktadır. Rapor, mağdurlara yalnızca şifreleri değiştirmekle kalmayıp, belirteçleri de geri almayı önermektedir.
Etkilenen Sistemler
ACR Stealer’ın etkilediği sistemler arasında şunlar yer almaktadır:
- Tarayıcı Verileri: Chrome ve Edge üzerinde kullanıcı bilgileri
- Dosyalar: Masaüstünde ve İndirilenler klasöründe bulunan PDF’ler
- Microsoft 365 Belgeleri: Kullanıcıların OneDrive ve SharePoint klasörleri
Payload’ın Yapısı
Saldırının başında gelen komut, mshta.exe‘yı başlatarak uzaktan HTA içeriği çekmektedir. Bir yerleştirici, COM nesnelerini kullanarak PowerShell’i çalıştırmakta ve yükü bellek içinde çalıştırmaktadır. Yük, bir JPEG formatında gizlenmiş payload’dan oluşmakta olup, özel rutinler aracılığıyla çıkarılıp çalıştırılmaktadır.
Diğer Dağıtım Zinciri ve İzler
Microsoft’un ilk zinciri, diske yazma yeteneğine sahip olduğundan saldırgan tespitini kolaylaştırmaktadır. Burada, kullanıcıdan kopyalanan komut, bir DLL dosyasını uzaktan çekmekte ve ardından hileli bir Python yükleyicisi çalıştırılmaktadır. Bu aşamada, yasal güncelleme gibi davranarak kalıcılığını sağlamaktadır.
Açık Yok, Numara Yok
Her iki zincir de bir güvenlik açığını kullanmamaktadır. Kullanıcı zaten sahip olduğu izinlerle işlem yapmaktadır. Basit bir komutun kopyalanması ve çalıştırılması yoluyla tüm bu baskınlar gerçekleşmektedir. Bu nedenle, CVE veya benzeri güvenlik açığı numaralarını beklememek gerekmektedir.
Ne Yapılmalı?
Kullanıcıların ve organizasyonların aşağıdaki adımları atması gerekmektedir:
- Komut yürütme isteğini kesmek için GPO üzerinden “Çalıştır” uygulamasını devre dışı bırakın.
- AppLocker veya WDAC ile
mshta.exegibi uygulamaları engelleyin. - PowerShell, Python ve diğer potansiyel saldırgan uygulamaların internetten içerik çekmesini sınırlayacak kontroller uygulayın.
- Şüpheli bir etkinlik tespit edildiğinde, cihaz izole edilmeli, kimlik bilgileri değiştirilmelidir.
Microsoft, savunma ve izleme için üç Defender XDR sorgusu ve 16 kampanya alanı belirlemiştir.
Kullanıcılar, antispam ve güvenlik duvarı düzenlemeleri ile bu tür saldırılara karşı önlem almalıdır. Unutulmamalıdır ki, temel güvenlik uygulamaları ve eğitimler, bu tür tehditlerle başa çıkmanın en etkili yoludur.


