Η νέα παραλλαγή ACRStealer χρησιμοποιεί Syscall Evasion, TLS C2 και δευτερεύουσα παράδοση ωφέλιμου φορτίου

Μια νέα παραλλαγή του ACRStealer έχει εμφανιστεί με αναβαθμισμένες δυνατότητες που το καθιστούν σημαντικά πιο δύσκολο να εντοπιστεί και πιο επικίνδυνο για τα συστήματα που στοχεύει.

Αναφέρθηκε για πρώτη φορά από την Proofpoint στις αρχές του 2025 ως νέα επωνυμία του Amatera Stealer, αυτή η τελευταία επανάληψη εισάγει χαμηλού επιπέδου αποφυγή syscall, κρυπτογραφημένη επικοινωνία C2 μέσω TLS και τη δυνατότητα παράδοσης δευτερευόντων ωφέλιμων φορτίων — ένας συνδυασμός που σηματοδοτεί ένα σαφές βήμα προς τα εμπρός στην ανάπτυξη του κακόβουλου λογισμικού και δείχνει μια ενεργά διατηρούμενη απειλή​.

Το ACRStealer πωλείται ως Malware-as-a-Service (MaaS), που σημαίνει ότι ενοικιάζεται σε πολλούς παράγοντες απειλών για χρήση στις δικές τους καμπάνιες.

Σε αυτήν την τελευταία λειτουργία, φτάνει ως τελικό ωφέλιμο φορτίο που παραδίδεται μέσω του HijackLoader — ενός εξελιγμένου φορτωτή που συνδέεται με την πλατφόρμα διανομής PiviGames.

Η επίθεση ξεκινά όταν οι χρήστες σε πλατφόρμες τυχερών παιχνιδιών όπως το Steam, το Discord ή το Reddit εξαπατούν να επισκεφτούν έναν κακόβουλο σύνδεσμο (hxxps://pivigames..blog/adbuho), το οποίο τους μεταφέρει μέσω μιας αλυσίδας ανακατεύθυνσης πριν από την απόθεση ενός αρχείου ZIP που περιέχει το κακόβουλο λογισμικό, μεταμφιεσμένο ως νόμιμο πρόγραμμα εγκατάστασης λογισμικού.​

G Οι αναλυτές δεδομένων εντόπισαν αυτό το ενημερωμένο ACRStealer παραλλαγή κατά τη διάρκεια μιας έρευνας παρακολούθησης για τη δραστηριότητα του HijackLoader και σημείωσε βασικές διαφορές από προηγούμενες εκδόσεις.

Όπου οι προηγούμενες επαναλήψεις βασίζονταν σε ένα Dead Drop Resolver (DDR) για την απόκρυψη διευθύνσεων διακομιστή C2, αυτό το δείγμα συνδέεται με την υποδομή εντολών του χρησιμοποιώντας εγγενείς διεπαφές πυρήνα των Windows και κρυπτογραφημένα κανάλια, αφαιρώντας ένα σημείο ανίχνευσης στο οποίο βασίζονταν προηγουμένως πολλά εργαλεία ασφαλείας.

Η ανάλυσή τους επιβεβαίωσε ενεργές λοιμώξεις στις Ηνωμένες Πολιτείες, τη Μογγολία και τη Γερμανία, με όλα τα δείγματα να επιστρέφουν στη διεύθυνση C2 157..180..40..106

Η εμβέλεια της κλοπής δεδομένων αυτής της παραλλαγής είναι ευρεία. Στοχεύει τα διαπιστευτήρια του προγράμματος περιήγησης, τα cookie συνεδρίας και τα δεδομένα σύνδεσης από πολλά προγράμματα περιήγησης και ακολουθεί μοναδικά τα διαπιστευτήρια λογαριασμού παιχνιδιών Steam — ένας στόχος διείσδυσης που δεν είχε παρατηρηθεί προηγουμένως σε καμπάνιες ACRStealer.

Τα κλεμμένα δεδομένα εγγράφονται σε ένα αρχείο με σκληρό κώδικα που ονομάζεται d5e48e78-2951-4117-b806-e4f8e626f28c.txt πριν μεταδοθεί στον διακομιστή C2.

Το κακόβουλο λογισμικό εκτελεί επίσης δακτυλικά αποτυπώματα πλήρους συστήματος, καταγραφή GUID μηχανής, όνομα χρήστη, αρχιτεκτονική, τοπική ρύθμιση και χρόνο κατασκευής, συμπιέζοντας τα πάντα σε ένα αρχείο ZIP στη μνήμη με όριο 40 MB πριν από την τελική μετάδοση.​

Η ίδια υποδομή παράδοσης έχει επίσης παρατηρηθεί να ωθεί το LummaStealer στις αρχές του 2026, με την αλυσίδα PiviGames να ανακατευθύνεται τώρα σε μια λήψη Mega cloud που περιέχει ένα μόνο εκτελέσιμο αρχείο με το όνομα Setup.exe — αυτή τη φορά αναπτύσσοντας το LummaStealer αντί για το ACRStealer.

Αυτή η εναλλαγή επιβεβαιώνει ότι η ομάδα απειλών ανταλλάσσει ενεργά το τελικό της ωφέλιμο φορτίο χωρίς να ανακατασκευάσει την αλυσίδα διανομής της, καθιστώντας τη λειτουργία ευέλικτη και δύσκολο να διακοπεί μόνο με την ανίχνευση συγκεκριμένου ωφέλιμου φορτίου.​

Syscall Evasion και C2 Communication

Η πιο αξιοσημείωτη τεχνικά πτυχή αυτής της παραλλαγής είναι ο τρόπος με τον οποίο αποφεύγεται ο εντοπισμός σε επίπεδο API.

Αντί να βασίζεται σε τυπικά Win32 API που παρακολουθούν τακτικά τα εργαλεία τερματικού σημείου, εντοπίζει το ntdll.dll μέσω του Process Environment Block (PEB) και αναλύει χειροκίνητα τον Export Address Table (EAT) για να επιλύσει τις λειτουργίες που χρειάζεται, χρησιμοποιώντας έναν τροποποιημένο αλγόριθμο κατακερματισμού djb2 που παρατηρείται επίσης στο Hijack.

Στη συνέχεια, οι κλήσεις συστήματος εκτελούνται μέσω της πύλης μετάβασης WoW64, δρομολογώντας τις σε επίπεδο πυρήνα και παρακάμπτοντας τα άγκιστρα λειτουργίας χρήστη από τα οποία εξαρτώνται τα περισσότερα προϊόντα ασφαλείας.

Από την πλευρά του δικτύου, το ACRStealer αποφεύγει εντελώς την τυπική βιβλιοθήκη Winsock. Κατασκευάζει χειροκίνητα μια διαδρομή τελικού σημείου AFD και την ανοίγει μέσω του NtCreateFile, δημιουργώντας μια ακατέργαστη υποδοχή TCP IPv4 χωρίς εισαγωγή του ws2_32.socket.

Μόλις συνδεθεί στον διακομιστή C2 στη θύρα 443, το κακόβουλο λογισμικό ολοκληρώνει μια χειραψία TLS μέσω του πλαισίου SSPI της Microsoft, χρησιμοποιώντας το σκληρό κωδικοποιημένο όνομα κεντρικού υπολογιστή playtogga..com — μια πραγματική πλατφόρμα ποδοσφαίρου — για να κάνει την επισκεψιμότητά της να μοιάζει με κανονική δραστηριότητα HTTPS και να συνδυάζει προηγούμενα εργαλεία επιθεώρησης δικτύου.

Μετά τη χειραψία, τα δεδομένα αποστέλλονται είτε σε απλό κείμενο είτε σε κρυπτογραφημένη μορφή AES-256 ανάλογα με τη σημαία διαμόρφωσης χρόνου εκτέλεσης. Εάν ο διακομιστής C2 καταστεί μη προσβάσιμος, το κακόβουλο λογισμικό περιμένει δύο δευτερόλεπτα και επαναλαμβάνει αυτόματα, δίνοντάς του βασική ανθεκτικότητα.

Συνιστάται στις ομάδες ασφαλείας να παρακολουθούν για ασυνήθιστη χρήση API χαμηλού επιπέδου, συμπεριλαμβανομένων των συνδέσεων δικτύου που βασίζονται σε NtCreateFile και AFD, να αποκλείουν τους γνωστούς δείκτες C2 157..180..40..106 και playtogga..com και ενεργοποιήστε την ανίχνευση συμπεριφοράς για κούφωμα διεργασίας μέσω του rundll32.exe.

Οι χρήστες θα πρέπει να αποφεύγουν τη λήψη αρχείων από μη επαληθευμένους συνδέσμους που μοιράζονται σε πλατφόρμες παιχνιδιών ή μέσα κοινωνικής δικτύωσης.