ACR Stealer-揭露攻击链、功能及IOCs

ACR Stealer代表了2025年活跃的最复杂的information-stealing恶意软件家族之一，以其先进的规避技术和全面的数据收集能力而闻名。

ACR Stealer最初于2024年3月作为俄语网络犯罪论坛上的Malware-as-a-Service（MaaS）产品出现，现已从其前身GrMsk Stealer迅速发展成为一个强大的威胁，它采用尖端的混淆方法来绕过现代安全解决方案。

这种恶意软件因创新性地将合法平台用作命令与控制基础设施而声名狼藉，这使得安全团队的检测和缓解工作变得异常困难。

这种恶意软件的复杂程度远超传统的信息窃取软件，它融合了多种先进技术，如死投解析器（DDR）方法、直接系统调用实现以及对WoW64过渡的滥用，以此规避端点检测与响应（EDR）系统。

近期的攻击活动显示，ACR Stealer能够入侵200多个不同类别的应用程序，涵盖加密货币钱包到密码管理器等，同时通过巧妙伪装的渠道与威胁行为者的基础设施保持持续通信。

ACR Stealer攻击链

ACR Stealer攻击活动通常通过复杂的钓鱼操作发起，这些操作利用社会工程学欺骗受害者执行恶意有效载荷。

有最详尽记录的攻击途径涉及一个伪装成谷歌安全中心官方网站的欺诈网站，该网站托管在“googleaauthenticator[.]com”。

这个钓鱼网站精心模仿了谷歌的品牌标识和界面设计，以获取潜在受害者的信任。

当受害者点击恶意网站上的“下载验证器”按钮时，他们会在不知情的情况下触发从“hxxps://webipanalyzer[.]com/GoogleAuthSetup.exe”下载“GoogleAuthSetup.exe”的操作。

这种初始有效载荷是一种复杂的加载器，它采用多种欺骗技术来掩盖其恶意本质。该可执行文件具有有效的数字签名，通过营造合法性的假象，有助于绕过初始安全筛查。

该加载器的架构通过在可执行文件的RCData部分存储加密的有效载荷，展示了高级的混淆技术。

执行后，恶意软件会利用LoadResource() API提取并解密这些嵌入的有效载荷，随后将它们保存到系统的%temp%目录中。

解密过程揭示了两个不同的恶意软件组件：ACR Stealer和Latrodectus，它们各自具有特定的恶意功能。

进程注入与持久化机制

ACR Stealer采用复杂的进程注入技术，这些技术利用直接系统调用来规避用户态API监控。

这种恶意软件专门使用NtCreateUserProcess系统调用来生成子进程，以此绕过传统的CreateProcess API调用——这类调用通常会受到安全解决方案的监控。

这种技术代表了规避能力的重大进步，因为许多终端检测与响应系统依赖用户态API钩子进行检测。

该恶意软件通过多种机制建立持久化，包括创建计划任务和战略性放置文件。当从临时目录执行时，恶意软件会进行环境检查以确定其执行上下文。

如果不是从%appdata%目录运行，它会将自身复制到该位置，并从新路径重新执行，然后终止原始进程。

这种行为确保恶意软件在系统上保持立足点，同时清除其初始执行位置的痕迹。

最近的变体采用了先进的持久化技术，这些技术利用COM对象创建配置为频繁执行的计划任务。

与早期版本仅在登录时触发不同，更新的迭代版本每10分钟安排一次执行，这表明其在更激进的持久化策略方面有所发展。

技术能力与规避技术

死信投递解析器的实现

ACR Stealer 最显著的创新之一是其采用了“死投解析器”（DDR）技术来混淆命令与控制基础设施。

与传统的命令与控制通信相比，这种方法是一项重大进步，它将服务器细节嵌入到合法平台中，而安全工具不太可能将这些平台标记为可疑。

该恶意软件利用多个平台来实施DDR，包括Steam社区个人资料、谷歌文档和Telegram频道。

在有记录的攻击活动中，ACR Stealer会访问特定的Steam社区个人资料，例如“hxxps://steamcommunity[.]com/profiles/76561199679420718”，以获取编码的C2服务器信息。

这种方法通过允许威胁行为者动态更改命令与控制（C2）基础设施而无需更新恶意软件样本，提供了操作安全方面的优势。

DDR过程涉及多个编码和解码阶段。恶意软件首先与合法平台联系以提取编码数据，通常使用Base64编码并附加XOR加密层。

获取编码信息后，ACR Stealer会构建实际的C2 URL，并继续下载包含目标参数和操作指令的加密配置文件。

高级通信协议

ACR Stealer已进化出复杂的通信机制，能够绕过传统的网络监控解决方案。

最近的变体实现了NTSockets功能，该功能直接与Windows AFD（辅助功能驱动程序）设备交互，而非使用标准的Winsock库。

这种技术使恶意软件能够建立网络通信，同时避开依赖用户态API挂钩进行网络流量监控的EDR系统。

NTSockets的实现涉及使用NtCreateFile和NtDeviceIoControlFile等低级NT函数与“\Device\Afd\Endpoint”设备进行直接通信。

这种方法有效地绕过了安全解决方案监控HTTP请求时所关注的几乎所有常用Windows网络API。

该恶意软件在协议层面手动构造HTTP请求，无需依赖高级库即可组装头部和负载。

WoW64与天堂之门漏洞利用

高级ACR Stealer变种利用“天堂之门”技术在32位进程中执行64位代码，这进一步增加了检测和分析的难度。

这种技术利用WoW64子系统在32位和64位执行模式之间切换，使恶意软件能够访问扩展功能，同时保持与旧系统的兼容性。

“天门”实现方案涉及通过精心编写的汇编代码直接操控处理器的执行模式，该代码可实现从32位模式到64位模式的转换。

这种技术对那些可能无法正确处理模式转换的分析工具和沙箱尤其有效。

这种恶意软件利用这一功能执行关键操作，例如命令与控制（C2）通信，同时干扰自动化分析系统。

数据窃取操作

ACR Stealer在数据收集能力方面展现出前所未有的广度，其目标涵盖八大类别的200多个应用程序。

这种恶意软件的攻击目标策略反映了对现代数字资产管理和通信模式的全面理解。

网页浏览器漏洞利用： 该恶意软件针对大量网页浏览器，包括Chrome、Firefox和Edge等主流浏览器，以及Brave等注重隐私的替代浏览器和Opera GX等专用浏览器。

ACR Stealer会从这些应用程序中提取存储的凭据、Cookie、自动填充数据、浏览历史和会话令牌。

最近的变体已经具备了通过将外壳代码直接注入浏览器进程来绕过Chrome的应用程序绑定加密的能力。

加密货币钱包定向攻击：ACR窃取器对加密货币生态系统有着深入的了解，能够针对50多种不同的钱包应用程序进行攻击。

这种恶意软件专门搜索wallet.dat文件、私钥、助记词以及来自包括Electrum、Exodus、Bitcoin Core、以太坊钱包和硬件钱包管理软件等应用程序的配置文件。

这种针对加密货币盗窃的全面方法反映了数字资产在网络犯罪活动中的高价值属性。

企业通信工具： 该恶意软件针对邮件客户端，如Thunderbird、Outlook、Mailbird，以及The Bat!等专用应用程序。

此外，它还从FTP客户端收集数据，包括FileZilla、WinSCP以及各种商业FTP应用程序。

这种目标定位策略表明，其重点在于获取商业通信和文件传输凭证，这些凭证可能会为横向移动或商业电子邮件入侵攻击提供便利。

数据窃取与处理

ACR Stealer采用复杂的数据处理机制，将收集到的信息整理成适合威胁参与者使用的结构化格式。

该恶意软件按应用程序类型对窃取的数据进行分类，并采用压缩算法以优化传输效率。

数据窃取过程涉及多个加密层级，包括使用硬编码密钥的XOR编码以及为实现协议兼容性的Base64编码。

窃取的数据通过HTTP POST请求传输到C2服务器，这些请求带有精心设计的标头，旨在与合法的网络流量混为一体。

该恶意软件实施了错误处理机制，以确保传输过程中的数据完整性，并包含针对上传失败的重试逻辑。

命令与控制基础设施

动态C2解析

ACR Stealer的C2基础设施通过实施动态解析机制展现出显著的韧性。

该恶意软件并非依赖硬编码的IP地址或域名，而是从那些不太可能被网络安全解决方案拦截的合法平台获取命令与控制（C2）信息。

配置检索过程包括访问诸如“hxxps://geotravelsgi[.]xyz/ujs/2ae977f4-db12-4876-9e4d-fc8d1778842d”之类的URL来下载加密的配置文件。

这些配置不仅包含C2服务器的详细信息，还包括目标参数、更新机制以及额外的有效载荷交付指令。

多阶段有效载荷交付

最近的ACR Stealer变种已整合了多阶段有效载荷投递功能，这使得威胁 actors 能够根据受害者的价值或操作需求部署更多恶意软件。

该恶意软件的配置包含一个“加载器”密钥，用于指定执行的次级有效载荷。根据威胁执行者的目标，这些有效载荷可以以可执行文件、PowerShell脚本或DLL库的形式交付。

次级有效载荷执行系统支持多种文件类型，包括.exe、.cmd、.dll和.ps1文件。

对于基于PowerShell的有效负载，该恶意软件采用了DownloadString和Invoke-Expression（IEX）执行方法。

这种灵活性使威胁行为者能够根据受害者的环境和价值评估调整其操作。

妥协指标

ACR Stealer已演变为一种更复杂的变种，名为Amatera Stealer，该变种在规避能力和操作安全性方面有了显著提升。

这个重新命名的版本保留了ACR Stealer的核心功能，同时引入了增强的反分析特性和更高的复杂度。

Amatera Stealer体现了其为对抗安全改进并保持运营有效性而进行的积极开发努力。

这种演变包括放弃Steam和Telegram的秘密投放点，转而采用带有硬编码IP地址的直接命令与控制连接。这一变化表明，在保持运营能力的同时，他们正在适应检测方法。

ACR Stealer 家族展现出持续的发展模式，这反映出威胁行为者在维持运营有效性方面的积极投入。

更新内容包括加密密钥模式修改、新命令实现以及持久化机制增强。

这些进展表明，存在资源充足、具有长期行动目标的威胁行为体。

最近的变体引入了有趣的反分析功能，旨在使逆向工程和自动化分析变得复杂。

这些包括环境检测机制、沙箱规避技术和分析干扰方法。不断添加新功能表明持续的开发投入和威胁演变。

缓解措施

防御ACR Stealer的安全机构必须实施全面、多层次的策略，以应对这种恶意软件复杂的规避技术。

网络监控应侧重于通过行为分析检测DDR通信，而非仅仅依赖基于特征的检测。

端点保护应整合行为分析能力，以识别直接的系统调用滥用和进程注入技术。

用户教育计划必须强调从非官方来源下载软件以及点击可疑广告所带来的风险。

组织应实施严格的软件安装政策，并提供获取合法软件的官方渠道。

此外，实施应用程序白名单可以阻止未经授权的软件执行，包括ACR Stealer的变种。

ACR Stealer及其变种的复杂性对网络安全专业人员构成了重大挑战，这需要先进的检测能力和全面的安全策略来有效应对这一不断演变的威胁。

随着威胁者不断开发出更复杂的技术，安全团队必须保持警惕，并调整其防御策略以应对这些不断提升的能力。