برمجية ACR Stealer تعود بقوة عبر خدع ClickFix، وتستهدف كلمات المرور والرموز النشطة وملفات مايكروسوفت 365 وOneDrive داخل الشركات.
ما هي برمجية ACR Stealer ولماذا تشكل خطراً الآن؟
تُعد ACR Stealer من برمجيات سرقة المعلومات التي ظهرت منذ 2024، لكنها سجلت نشاطاً متصاعداً بين أواخر أبريل ومنتصف يونيو. الخطر هنا لا يقتصر على كلمات المرور المحفوظة، بل يمتد إلى رموز الجلسات النشطة التي قد تمنح المهاجمين وصولاً فورياً إلى الحسابات.
وبحسب ما رصده تيكبامين، فإن الحملة الحالية تركز على بيئات العمل، حيث يتم سحب ملفات PDF ومستندات مايكروسوفت 365 وبيانات من المجلدات المتزامنة مع OneDrive وSharePoint.
كيف تصل هجمات ClickFix إلى أجهزة ويندوز؟
تعتمد الحملة على نافذة تطلب من الضحية نسخ أمر وتشغيله يدوياً عبر مربع Run في ويندوز. هذه الخطوة البسيطة تمنح المهاجم بداية الاختراق، لأن المستخدم نفسه ينفذ الأمر بدلاً من ملف تقليدي واضح.
ما الذي يحدث بعد الضغط على Enter؟
- تشغيل أداة mshta.exe لجلب محتوى HTA من خادم بعيد.
- استخدام VBScript لفك التعليمات وتشغيل PowerShell.
- إنشاء معرف للضحية وتعطيل التحقق من الشهادات.
- تحميل المراحل التالية في الذاكرة لتقليل الآثار على القرص.
هذه الطريقة تجعل بعض السلاسل الهجومية شبه خالية من الملفات، وهو ما يصعب رصدها بسرعة عبر الحلول التقليدية.
كيف تخفي ACR Stealer الحمولة داخل صورة؟
واحدة من أكثر الحيل لفتاً للانتباه هي إخفاء الحمولة الخبيثة داخل صورة JPEG مستضافة على خدمة صور. بعد تنزيل الصورة، تستخدم البرمجية روتينات مخصصة لاستخراج البيانات المخفية، ثم فك تشفيرها وضغطها وتشغيلها مباشرة في الذاكرة.
بعد التنفيذ، تبدأ ACR Stealer في استهداف متصفحي Chrome وEdge، عبر قراءة قواعد بيانات Login Data وWeb Data ثم استخدام DPAPI لفك تشفير كلمات المرور وملفات تعريف الارتباط والرموز.
- سرقة كلمات المرور المحفوظة.
- جمع Cookies ورموز المصادقة النشطة.
- الوصول إلى ملفات PDF على سطح المكتب والتنزيلات.
- سحب مستندات من OneDrive وSharePoint المتزامنين.
ما الذي يجعل رموز الجلسات أخطر من كلمة المرور؟
حتى لو غيّرت الشركة كلمة المرور بسرعة، قد يبقى المهاجم داخل الحساب إذا كان يملك رمز جلسة صالحاً. لهذا السبب، لا يكفي تبديل كلمات المرور فقط، بل يجب إبطال الجلسات والرموز النشطة فوراً.
خطوات الاستجابة السريعة
- إلغاء جميع الرموز النشطة وتسجيل الخروج القسري.
- مراجعة نشاط Microsoft 365 وOneDrive وSharePoint.
- فحص الأجهزة التي شغلت أوامر غير موثوقة عبر Run.
- إعادة تعيين بيانات الاعتماد الحساسة بعد احتواء الحادث.
كيف تحمي الشركات نفسها من هجمات ACR Stealer؟
أفضل دفاع يبدأ من التوعية: لا يجب نسخ أوامر من صفحات مجهولة أو إعلانات مضللة أو نتائج بحث مشبوهة. كما يفيد تقييد تشغيل الأدوات النصية ومراقبة PowerShell وmshta.exe داخل بيئة العمل.
في النهاية، تؤكد ACR Stealer أن الهجوم لم يعد يحتاج مرفقاً خبيثاً واضحاً، بل يكفي خداع المستخدم لثوانٍ. ولهذا يرى تيكبامين أن حماية مايكروسوفت 365 والمتصفحات تتطلب إبطال الجلسات ومراقبة السلوك، لا الاكتفاء بتغيير كلمة السر.