ACR Stealer: el malware que roba credenciales empresariales

Iniciado por Dragora, Julio 18, 2026, 11:33:40 AM

Tema anterior - Siguiente tema

0 Miembros y 11 Visitantes están viendo este tema.


Microsoft ha emitido una importante advertencia de ciberseguridad tras detectar un incremento significativo en las campañas de distribución de ACR Stealer, un peligroso malware especializado en el robo de información sensible. Esta amenaza, distribuida bajo el modelo Malware-as-a-Service (MaaS), está siendo utilizada por ciberdelincuentes para comprometer equipos corporativos, extraer credenciales almacenadas en navegadores, robar tokens de autenticación y obtener documentos confidenciales de empresas.

La investigación realizada por Microsoft revela que, entre finales de abril y mediados de junio, los atacantes intensificaron el uso de técnicas avanzadas de ingeniería social combinadas con herramientas legítimas del sistema operativo Windows para evadir las soluciones de seguridad tradicionales. Esta evolución convierte a ACR Stealer en una de las amenazas de robo de información más preocupantes para organizaciones de todos los tamaños.

¿Qué es ACR Stealer?

ACR Stealer es un infostealer, es decir, un malware diseñado específicamente para recopilar y exfiltrar información confidencial de los dispositivos infectados. Los investigadores consideran que esta familia representa un cambio de marca del conocido Amatera Stealer, heredando gran parte de sus capacidades ofensivas y ampliando sus métodos de distribución.

Al comercializarse como Malware-as-a-Service, distintos grupos criminales pueden alquilar la infraestructura y utilizar el malware en sus propias campañas, lo que incrementa considerablemente el número de ataques observados a nivel mundial.

ClickFix: la ingeniería social como puerta de entrada

Uno de los aspectos más preocupantes del informe de Microsoft es el uso de la técnica ClickFix, una modalidad de ingeniería social que engaña a las víctimas haciéndoles creer que deben ejecutar un comando para solucionar un supuesto problema del sistema o completar una verificación de seguridad.

En realidad, el comando ejecutado inicia la infección del equipo y permite que el malware se instale sin que el usuario sospeche que está siendo comprometido.

Esta técnica continúa ganando popularidad entre los ciberdelincuentes debido a que aprovecha la confianza del usuario y reduce la necesidad de explotar vulnerabilidades tradicionales.

Primera cadena de ataque: WebDAV, Rundll32 y PowerShell

La primera campaña documentada por Microsoft inicia cuando la víctima ejecuta un comando proporcionado mediante ClickFix.

Posteriormente, el sistema utiliza rundll32.exe para cargar una DLL maliciosa alojada en un recurso remoto WebDAV, una tecnología legítima utilizada para acceder a archivos compartidos mediante HTTP.

El abuso de WebDAV no es nuevo. Anteriormente fue utilizado para distribuir amenazas como Bumblebee y Voldemort, demostrando que los atacantes continúan reutilizando infraestructuras legítimas para ocultar su actividad.

Para dificultar aún más la detección, los atacantes emplean estructuras de directorios basadas en identificadores GUID y nombres de archivos que imitan recursos legítimos, logrando que el tráfico parezca normal dentro de la red corporativa.

Una vez establecida la comunicación con el servidor de mando y control (C2), se ejecuta un script de PowerShell altamente ofuscado que realiza diversas acciones maliciosas:

  • Instala un cargador basado en Python.
  • Crea tareas programadas disfrazadas como actualizaciones de software.
  • Manipula marcas de tiempo para ocultar la actividad maliciosa.
  • Borra el historial de PowerShell.
  • Inyecta el malware directamente en procesos legítimos del sistema para ejecutarlo únicamente en memoria, reduciendo las posibilidades de detección.

EtherHiding: utilizando blockchain para ocultar la infraestructura maliciosa

Una característica especialmente sofisticada observada en algunas variantes de ACR Stealer es el uso de EtherHiding, una técnica que aprovecha servicios públicos de blockchain para ocultar direcciones de servidores de mando y control o nuevas ubicaciones desde donde descargar componentes adicionales.

Gracias a esta estrategia, los operadores del malware pueden modificar rápidamente su infraestructura sin necesidad de actualizar el malware instalado en los equipos comprometidos, dificultando enormemente el bloqueo por parte de los equipos de seguridad.

Segunda cadena de infección: MSHTA y esteganografía

La segunda técnica identificada por Microsoft también comienza con ClickFix, aunque en esta ocasión utiliza MSHTA (Microsoft HTML Application Host).

Tras ejecutar MSHTA, el sistema descarga contenido malicioso desde un servidor controlado por los atacantes y posteriormente ejecuta un descargador PowerShell fuertemente ofuscado.

Una de las fases más interesantes de esta campaña consiste en ocultar la carga útil dentro de una imagen JPEG mediante esteganografía, una técnica que permite esconder información dentro de archivos aparentemente inofensivos.

Después de recuperar el contenido oculto, el malware descifra la carga útil y la ejecuta directamente en memoria, evitando dejar rastros en el disco duro y complicando el análisis forense.

¿Qué información roba ACR Stealer?

El objetivo principal de esta amenaza es recopilar toda la información valiosa posible antes de enviarla a los operadores del ataque.

Entre los datos que busca se encuentran:

  • Contraseñas almacenadas en navegadores web.
  • Cookies de autenticación.
  • Tokens de sesión.
  • Datos de inicio de sesión.
  • Información protegida mediante Windows DPAPI.
  • Bases de datos de navegadores Chromium como Google Chrome y Microsoft Edge.
  • Documentos PDF.
  • Archivos de Microsoft 365.
  • Información almacenada en el Escritorio.
  • Archivos de la carpeta Descargas.
  • Directorios sincronizados de OneDrive.
  • Bibliotecas empresariales de SharePoint.

Una vez recopilados, todos estos datos son comprimidos y preparados para su exfiltración hacia la infraestructura del atacante.

Riesgo para las empresas

El robo de credenciales representa una de las mayores amenazas actuales para las organizaciones.

Con una sola contraseña comprometida, un atacante puede acceder a servicios corporativos, correo electrónico, plataformas en la nube, VPN, sistemas financieros o herramientas colaborativas como Microsoft 365.

Cuando además se obtienen cookies y tokens de autenticación, los delincuentes incluso pueden eludir mecanismos de autenticación multifactor en determinadas circunstancias, incrementando significativamente el impacto del incidente.

Esto convierte a ACR Stealer en una herramienta especialmente valiosa para campañas posteriores de ransomware, espionaje corporativo y ataques dirigidos.

Recomendaciones de Microsoft para mitigar ACR Stealer

Microsoft recomienda implementar una estrategia de defensa en profundidad para reducir la superficie de ataque frente a este tipo de campañas.

Entre las principales medidas destacan:

  • Capacitar continuamente a los usuarios para reconocer ataques de ingeniería social como ClickFix.
  • Evitar copiar y ejecutar comandos proporcionados por sitios web o mensajes emergentes.
  • Bloquear dominios recién registrados o de baja reputación.
  • Restringir el acceso a recursos web innecesarios dentro del entorno corporativo.
  • Implementar reglas de control de aplicaciones que impidan la ejecución de herramientas como PowerShell, Python, MSHTA y rundll32.exe cuando sean lanzadas desde rutas controladas por el usuario o recursos remotos.
  • Supervisar continuamente la actividad de los endpoints mediante soluciones EDR y XDR.
  • Actualizar periódicamente las políticas de seguridad y revisar los indicadores de compromiso (IoC) publicados por Microsoft.

En fin...

El incremento de campañas de ACR Stealer confirma que los atacantes continúan perfeccionando sus técnicas para comprometer organizaciones mediante el uso combinado de ingeniería social, herramientas legítimas del sistema y métodos avanzados de evasión como la esteganografía y EtherHiding. La combinación de ClickFix, WebDAV, MSHTA y PowerShell demuestra que los ciberdelincuentes priorizan estrategias que minimizan la detección y maximizan el robo de credenciales críticas.

Para las empresas, la mejor defensa sigue siendo una combinación de capacitación constante, controles de seguridad multicapa, monitoreo continuo y políticas estrictas de ejecución de aplicaciones. Adoptar estas medidas permitirá reducir significativamente el riesgo de infección y proteger la información corporativa frente a una amenaza que continúa evolucionando y expandiendo sus métodos de ataque.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login