Эволюция угроз: обновлённый ACRStealer использует системные вызовы и таргетирует геймеров

Ключевым нововведением в арсенале ACRStealer стал отказ от стандартных Win32 API в пользу низкоуровневых системных вызовов (syscalls) через NTDLL и механизм WoW64. Большинство вредоносных семейств традиционно полагаются на высокоуровневые API операционной системы для выполнения своих задач, однако вызовы этих функций легко отслеживаются и блокируются современными системами безопасности, такими как EDR. Новая версия стеалера начинает работу с доступа к Process Environment Block (блок среды процесса) для поиска библиотеки ntdll.dll, после чего вручную анализирует таблицу экспортируемых адресов (Export Address Table), чтобы разрешить имена необходимых функций. Полученные адреса и номера системных служб сохраняются, а для непосредственного выполнения вызова используется шлюз перехода Wow64. Этот подход позволяет вредоносной программе полностью обойти уровень Win32 API и пользовательские хуки, значительно снижая её заметность для средств защиты.

Не менее изощрённый метод применяется для установки соединения с командным сервером. Вместо использования стандартного сетевого стека Winsock, ACRStealer задействует механизм NTSockets и Ancillary Function Driver (AFD). Код вручную создаёт путь к нативному объекту AFD (\Device\Afd\Endpoint\), формирует необходимые структуры данных для диспетчера объектов Windows и вызывает функцию NtCreateFile, чтобы открыть конечную точку AFD напрямую из пользовательского режима. Далее вредоносная программа конструирует сокет для TCP/IPv4 соединения, используя нативные операции ввода-вывода через NtDeviceIoControlFile, что является эквивалентом функции connect() в Winsock. Этот многослойный подход к коммуникации, когда сначала устанавливается сырое TCP-соединение, а поверх него настраивается SSL/TLS-сессия через Security Support Provider Interface (SSPI, интерфейс поставщика поддержки безопасности), позволяет трафику стеалера маскироваться под легитимный HTTPS-трафик, усложняя его выделение в сетевом потоке.

Особый интерес представляет модуль кражи данных, который подтверждает, что разработчики ACRStealer целенаправленно расширили его функционал для таргетирования игроков. Помимо классических техник извлечения данных браузеров, включая злоупотребление Data Protection API (DPAPI) для расшифровки мастер-ключа, стеалер демонстрирует продвинутый метод обхода App Bound Encryption - защиты, внедрённой в Chrome для предотвращения подобных атак. Для этого вредоносный код использует инъекцию шелл-кода в процесс браузера, который копирует и запускает служебный файл Elevator.exe, отвечающий за привилегированные операции в Chrome. Это позволяет обойти новые механизмы безопасности в версиях браузера ниже 127. Отдельная функция предназначена для кражи учётных данных и токенов платформы Steam, извлекая информацию из конфигурационных файлов в папке установки клиента. Все похищенные данные агрегируются в текстовый файл с жёстко заданным именем и передаются на C2-сервер.

Специалисты проанализировавшие активность, отметили интересный операционный паттерн. Телеметрия VirusTotal показывает случаи заражения в США, Монголии и Германии, причём все образцы связывались с одним IP-адресом, а большинство - с доменом playtogga[.]com, легитимной платформы для фэнтези-футбола. В то же время, загрузчик HijackLoader, который доставляет ACRStealer, распространялся через другой домен, pivigames[.]blog, популярный в испаноязычных странах. Такое распределение инфраструктуры может быть попыткой маскировки под обычный пользовательский трафик соответствующих регионов и сервисов. Более того, инфраструктура pivigames остаётся активной, адаптируя цепочки доставки и меняя полезные нагрузки, что свидетельствует о непрекращающейся кампании по заражению систем, вероятно, через социальную инженерию на игровых площадках и в соцсетях.

Для специалистов по информационной безопасности данный случай служит напоминанием о критической важности многоуровневой защиты. Эффективное противодействие таким сложным угрозам требует не только сигнатурного анализа, но и поведенческого детектирования, мониторинга низкоуровневых системных вызовов и аномальной сетевой активности. Особое внимание следует уделить защите рабочих станций пользователей, применяя принцип наименьших привилегий, регулярно обновляя ПО (особенно браузеры) для закрытия уязвимостей и используя специализированные решения для контроля приложений. Анализ TTP (Tactics, Techniques and Procedures, тактик, техник и процедур) этого стеалера, таких как использование системных вызовов, работа с AFD и обход App Bound Encryption, должен быть интегрирован в модели угроз SOC (Security Operations Center, центр мониторинга и реагирования на киберинциденты) для повышения вероятности обнаружения подобных атак на ранних стадиях.

IPv4

• 157.180.40.106

Domains

• playtogga.com

SHA256

• 59202cb766c3034c308728c2e5770a0d074faa110ea981aa88f570eb402540d2
• f88c6e267363bf88be69e91899a35d6f054ca030e96b5d7f86915aa723fb268b