Microsoftは、ブラウザに保存されたパスワードや認証トークン、機密文書を窃取するACR Stealerマルウェアを使った攻撃が、同社の企業顧客に対して急増していると報告しました。
4月下旬から6月中旬にかけて、脅威アクターはClickFixというソーシャルエンジニアリング手法、WebDAVサーバー、そしてMSHTA(Microsoft HTML Application Host)ユーティリティを組み合わせて情報窃取ペイロードを配信していました。
ACR Stealerはマルウェア・アズ・ア・サービス(MaaS)の一種で、Amatera Stealerマルウェアが名称変更したものとみられています。
ACR Stealerによる攻撃の手口
このマルウェアには複数の配布方法がありますが、Microsoftは中でも特に多く見られる2つの侵入経路を挙げています。
1つ目のキャンペーンは、ClickFixの誘導によって始まり、rundll32.exeを使ってリモートのWebDAV共有から悪意あるDLLを実行するコマンドが実行される、というものです。
脅威アクターがWebDAVを悪用する手口はよく見られるもので、過去にはBumblebeeやVoldemortといったマルウェアの配布でも確認されています。
今週公開されたレポートでMicrosoftが述べているところによると、脅威アクターは通常、WebDAVのパス内でGUIDベースのディレクトリ構造とファイル名を使用し、正規のリソース(例えばgoogle.ctなど)に見せかけることで、想定されるネットワークトラフィックに紛れ込ませているといいます。
コマンド&コントロール(C2)インフラとの通信が確立されると、「大幅に難読化されたPowerShellスクリプト」が実行され、マルウェアのインストーラーが起動し永続化が確立されます。
この一連の処理では、同梱されたPythonローダーがインストールされ、ソフトウェアアップデートに偽装したスケジュールタスクが作成されるほか、タイムスタンプの改ざん、PowerShell履歴の消去が行われ、最終的なペイロードがシステムプロセスに注入されてメモリ上で実行されます。
一部の亜種では、公開ブロックチェーンサービスをデッドドロップ・リゾルバーとして利用し、更新されたペイロードの保存場所やC2アドレスを取得しています。これはよく知られた手法で、「EtherHiding」とも呼ばれています。
2つ目の配布経路では、脅威アクターはClickFixを使ってMSHTAを起動させます。MSHTAは攻撃者のサーバーから悪意あるコンテンツを取得し、難読化されたPowerShellダウンローダーを実行します。
その後、マルウェアは一般公開されているステガノグラフィ手法を使ったJPEG画像に隠された暗号化ペイロードを抽出し、メモリ上で直接実行します。
手口は異なるものの、狙いは機密データの窃取という点で共通しています。
- Webブラウザに保存されたパスワード、Cookie、セッションデータ、認証トークンの窃取
- Windows Data Protection API(DPAPI)によるブラウザデータの復号
- ChromeやEdgeのChromiumブラウザデータベースへのアクセス
- PDFやMicrosoft 365文書の検索
- デスクトップやダウンロードフォルダからのファイル収集
- 企業で同期されたOneDriveおよびSharePointディレクトリの標的化
収集されたすべてのデータはアーカイブ化され、攻撃者への外部送信に備えて準備されます。

Microsoftは「この2つのキャンペーンは、Defender Expertsが観測したACR Stealerの配布キャンペーンの中でも特に多く見られるものですが、このマルウェアファミリーが使用する配布方法の全体像を表すものではありません」と警告しており、他にも実行経路が存在する可能性が非常に高いとしています。
ClickFix攻撃に対する一般的な防御策として、ユーザーは、エラーの修正や自分が人間であることの確認をうたう指示であっても、コマンドインタープリタへの指示のコピー&実行を避けるべきです。
Microsoftは、フィルタの適用、評判の低いドメインや新規ドメインのブロック、業務上必要のないオンラインリソースへのアクセス制限を通じて、組織がWebベースの配布経路への露出を減らすことを推奨しています。
アプリケーション制御ルールを使えば、特にユーザーが書き込み可能なパスにおいて、PowerShellやPython、mshta.exe、rundll32.exeといったツールを使ってリモートリソースからコンテンツを起動する動作を制限できます。
Microsoftのレポートには、推奨される緩和策のより詳細な一覧に加え、今回観測されたACR Stealerの活動に特化した侵害指標(IOC)も掲載されています。
攻撃者より先にすべてのレイヤーをテストする
セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが上がるのはたった14%に過ぎません。残りは環境内を検知されないまま通り抜けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。