Acr Stealer

ACR Stealer Malware que rouba dados de redes corporativas

O ACR Stealer, um infostealer ativo desde 2024, tem se mostrado uma ameaça significativa para redes corporativas, conseguindo roubar senhas de navegadores, tokens de sessão, documentos do Microsoft 365 e arquivos de pastas sincronizadas do OneDrive e SharePoint. A infecção ocorre quando um usuário cola um comando na caixa de execução do Windows e pressiona Enter, um vetor que não requer exploração de vulnerabilidades. A Microsoft identificou duas cadeias de entrega do malware, sendo uma delas baseada em memória e a outra gravando arquivos no disco. Ambas as cadeias utilizam iscas de ClickFix para enganar os usuários e facilitar o roubo de credenciais e documentos sensíveis. O ataque pode ser iniciado por meio de malvertising ou resultados de busca manipulados, levando os usuários a páginas que imitam assistentes de IA. A Microsoft recomenda que as vítimas revoguem tokens e não apenas alterem senhas. O ACR Stealer, que foi rebatizado como Amatera Stealer, é associado a um ator conhecido como SheldIO, que comercializou o malware em fóruns de língua russa. A detecção e mitigação desse malware exigem ações proativas das equipes de segurança, incluindo a remoção do prompt de execução e o bloqueio de executáveis suspeitos.