ACR Stealerが悪用するClickFix・WebDAV・ステガノグラフィー、ブラウザの認証情報とトークンを窃取

2026年4月下旬から6月中旬にかけて、ACR Stealerの活動が急増しています。攻撃者はClickFixによるソーシャルエンジニアリング、WebDAVでホストされたペイロード、PowerShellの難読化、ステガノグラフィーを組み合わせ、企業ユーザーを侵害しています。

この一連のマルウェア攻撃はClickFix型のソーシャルエンジニアリングによる誘導手口に依存しています。被害者を騙してWindowsの「ファイル名を指定して実行」ダイアログやコマンドプロンプトに攻撃者が用意したコマンドを貼り付けさせ、最終的にブラウザの認証情報、セッションクッキー、認証トークン、機密性の高い業務文書を窃取します。

配送方法こそ異なりますが、両キャンペーンはいずれもブラウザの保護機構を回避し、Windows標準ユーティリティを悪用し、DPAPIで保護されたデータを復号した上で、価値の高い情報を外部送信のために準備することを狙っています。

DataManagement

最初のキャンペーンは、不正広告やSEOポイズニングによる検索結果から始まり、偽の認証プロンプトを表示します。被害者は指示に従ってコマンドを実行させられ、そのコマンドがcmd.exeを起動し、HTTPS経由でリモートのWebDAV共有上にホストされたDLLに対してrundll32.exeを呼び出します。

攻撃者はGUIDのようなディレクトリ名やgoogle.ctのような無害に見えるファイル名を使い、通信をより怪しまれにくく見せかけています。

観測されたいくつかの亜種では、攻撃者はペイロードを実行する前にpushdを使い、リモートのWebDAVの場所を一時的なローカルドライブとしてマッピングしています。

これにより、リモートのコンテンツがローカルパスであるかのように見せかけられます。より巧妙な回避手法を用いるバージョンではconhost.exe --headless経由で起動し、コンソールウィンドウを非表示にした上で、環境変数の遅延展開を利用してpushdrundll32、リモートホストといった文字列を難読化しています。

WebDAVでホストされたDLLが実行されると、大幅に難読化されたPowerShellが起動します。このスクリプトはランダム化された変数、算術的な無意味処理(no-operation)、無限ループ、偽の制御フローを使い、解析を妨害します。

GBhackersと共有されたレポートの中でMicrosoftは、Amatera Stealerの改称に関連するマルウェア・アズ・ア・サービス(MaaS)とされるACR Stealerが、少なくとも2つの主要な侵入経路を通じて配布されていると述べています。

Image

その後、欺瞞的な%LocalAppData%\TempディレクトリにZIPアーカイブをダウンロードします。多くの場合、Logi Options Plusなどの正規ソフトウェアを装っています。

ACR StealerによるClickFixの悪用

このペイロードには、バンドルされたpythonw.exeランタイムと難読化されたPythonローダーが含まれています。マルウェアは以前のインストールを削除してアップデーターのように振る舞う一方で、ソフトウェアアップデートを装った隠しスケジュールタスクを通じて永続化を確立します。

また、フォレンジック上の痕跡を減らすため、notepad.exeからタイムスタンプをコピーし、PowerShellの履歴を消去します。

Pythonステージは、多層エンコーディング、Base64デコード、文字列操作、zlib解凍を通じて、実行時にシェルコードを再構築します。

Image

VirtualAllocで実行可能メモリを確保し、Windows Fiber APIを使ってメモリ内でペイロードを実行することで、ディスク上に残る痕跡を大幅に抑えています。

一部のケースでは、二次ローダーが公開ブロックチェーンのRPCサービスやWeb3インフラに問い合わせてC2(コマンド&コントロール)を解決しています。これは「EtherHiding」として知られるデッドドロップ手法です。

2つ目のACR Stealerキャンペーンは、よりファイルレスな経路をたどります。ClickFixによる誘導がmshta.exeを起動し、攻撃者が管理するインフラから悪意あるHTAファイルを取得します。

埋め込まれたVBScriptはCOMオブジェクトを悪用し、PowerShellのペイロードをデコードして実行します。

Image

このPowerShellコードは、通常の次段階スクリプトをダウンロードする代わりに、画像サービス上にホストされたJPEGファイルを取得します。

カスタムルーチンが画像のピクセルから隠されたコンテンツを抽出し、復号・解凍した上で、その結果をメモリ内で直接実行します。

このペイロードはLoadLibraryGetProcAddressVirtualAllocCreateThreadといったAPIを動的に解決し、従来の実行ファイルを介さないリフレクティブなシェルコード実行を可能にしています。

両キャンペーンとも、ChromeやEdgeのLogin DataおよびWeb Dataファイルを含むChromiumブラウザのデータベースを標的にしており、Windows DPAPI関数を呼び出すことで、保護されたパスワード、クッキー、認証関連のアーティファクトを復元しています。

DataManagement

また、デスクトップ、ダウンロードフォルダ、OneDrive、SharePointと同期された場所を検索してPDFやMicrosoft 365の文書を探し、収集した情報を外部送信前にアーカイブ化します。

Microsoftは、ClickFixのプロンプト、リモートWebDAVアクセス、mshta.exeの活動、難読化されたPowerShell、通常とは異なるスケジュールタスク、ブラウザのデータベースへのアクセスを監視するよう推奨しています。

侵害指標(IOC)

キャンペーン1
指標 説明
looksta[.]icu C2ドメイン
contrite.quirksturdy[.]icu C2ドメイン
ux.strainedeasily[.]icu C2ドメイン
cpppemwjewjoiwejow[.]sale C2ドメイン
breaksd.wifihot[.]icu C2ドメイン
walter.filloco[.]icu C2ドメイン
fast.raidher[.]icu C2ドメイン
apigrokcloud[.]icu C2ドメイン
キャンペーン2
enhanceblabber[.]cc C2ドメイン
deep-harborio[.]com 第1段階ペイロードのホスティングサイト
auramatrixa[.]com 第1段階ペイロードのホスティングサイト
zealpraxis[.]com 第1段階ペイロードのホスティングサイト
prism-vertex[.]com 第1段階ペイロードのホスティングサイト
prism-matrixs[.]com 第1段階ペイロードのホスティングサイト
proton-network[.]com 第1段階ペイロードのホスティングサイト
creativecommunityinfo[.]art ペイロードのホスティングサイト

注: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にディフェンジング処理(例: [.])を施しています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自社のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年、どちらが最適か? コスト、自動化、対応力を比較: 無料ガイドをダウンロード

翻訳元: https://gbhackers.com/acr-stealer-uses-clickfix/

ソース: gbhackers.com