ACRStealer の新バリアントがシステムコール回避、TLS C2、二次ペイロードを展開
新しい研究によると、ACRStealer の新バリアントが、HijackLoader によって最終ペイロードとしてアクティブに展開されていることが明らかになりました。この新バリアントは、低レベルのシステムコール、AFD ベースのネットワーキング、TLS C2、柔軟な二次ペイロード配信を使用して、検出を回避し、データ窃取を最大化しています。
新しく観察されたサンプルは、Amatera Stealer ライネージと関連付けられている再ブランド化された ACRStealer バリアントをドロップすることを示しています。これは、ACRStealer が単なる再利用されたコードではなく、現在も維持され、再パッケージ化されたモジュールであることを示しています。
ACRStealer の展開とインフラストラクチャ
G DATA の最近のインフラストラクチャ分析は、ACRStealer が LummaStealer などの他のステーラーとともに PiviGames エコシステムを介して配布されていることを示しています。これにより、ACRStealer のゲームに焦点を当てた感染チェーンでの足跡が拡大しています。
このモジュラーな統合により、ACRStealer は、既存の配信フレームワークにプラグ可能な柔軟な最終ペイロードとして脅威アクターに魅力的です。
システムコールの回避と C2 のセットアップ
新しいバリアントは、EDR の監視とユーザーモードのフックを回避するために、NTDLL と WoW64 システムコールに大きく依存しています。これにより、ファイルアクセスやプロセス操作などの重要な操作が上位レベルの API フックをバイパスできます。
C2 のセットアップでは、ACRStealer は Windows Ancillary Function Driver (AFD) と NTSockets を悪用して Winsock を完全に避けています。これにより、標準の HTTPS に似たトラフィックを生成しながら、低レベルの制御を維持できます。
ターゲットデータの盗難とゲーマーへの焦点
内部的には、ステーラーのタスクは 8 つの短い構成キーによって駆動されます。これらのキーは整数、配列、ブール値、文字列など、さまざまなタイプにマッピングされます。
ACRStealer は、NT システムコールを使用してユーザーディレクトリを探索し、USERPROFILE からデータをエクスプロイトします。ブラウザの盗難では、DPAPI を悪用して、Chrome の App Bound Encryption をバイパスし、保護されたデータを解読します。
二次ペイロードの展開
新しい ACRStealer は、構成で定義された二次ペイロードのローダーとしても機能します。このローダーは、.exe、.ps1、.dll、.cmd ペイロードを処理するスイッチのようなルーチンを提供します。
プロセスホロウィングのパスでは、rundll32.exe を使用して、注入されたシェルコードが実行されるようにします。
インフラストラクチャと展開
複数の ACRStealer サンプルが同じ IP 157[.]180[.]40[.]106 を共有しており、そのうちの 5 つが合法的なファンタジー・サッカー・サービスである playtogga[.]com に接続しています。
PiviGames は、以前に HijackLoader が ACRStealer をドロップするように配布していましたが、現在は悪意のあるチェーンを引き続き提供しています。