В ландшафте угроз информационной безопасности программы-похитители данных остаются одним из самых распространенных и финансово мотивированных инструментов злоумышленников. Их постоянная эволюция, направленная на усложнение детектирования и расширение функционала, представляет растущую проблему для корпоративной защиты и обычных пользователей. Недавний анализ обновленного варианта похитителя ACRStealer, активно распространяемого через сложный загрузчик HijackLoader, демонстрирует тревожные тенденции: переход к использованию низкоуровневых системных вызовов, изощренные методы скрытого сетевого взаимодействия и целенаправленную кражу данных, в том числе у игроков.
Описание
Изначально описанный экспертами Proofpoint в первой половине прошлого года, ACRStealer позиционируется как вредоносное ПО по модели "зловред как услуга" (Malware as a Service, MaaS). Его интеграция с HijackLoader, известным загрузчиком, использующим методы "живой от земли" (Living-off-the-Land), подчеркивает модульность и адаптируемость угрозы. Этот симбиоз означает, что ACRStealer превратился не просто в переупакованный зловред, а в постоянно дорабатываемый модуль, который могут легко использовать различные киберпреступные группы. Аналитики отметили, что такая интеграция повышает привлекательность стеала для злоумышленников в качестве финальной полезной нагрузки в сложных цепочках компрометации.
Одной из ключевых особенностей новой версии является активное использование динамического разрешения API через низкоуровневые системные вызовы (syscalls) NTDLL и WoW64. В отличие от многих семейств вредоносных программ, которые полагаются на высокоуровневые Win32 API, напрямую отслеживаемые системами безопасности вроде EDR (Endpoint Detection and Response), работа на уровне syscalls позволяет обходить пользовательские хуки и существенно снижать заметность. Алгоритм начинается с доступа к блоку среды процесса (PEB) для поиска ntdll.dll, после чего вручную парсится таблица адресов экспорта (EAT) для разрешения имен функций. Для выполнения системного вызова код использует шлюз перехода Wow64, полностью минуя слой Win32 API.
Не менее изощренным стал и механизм установки соединения с командным сервером (C2). Если ранние версии использовали метод "мертвой капсулы" (Dead Drop Resolver) для обфускации, то новый вариант применяет NTSockets и драйвер вспомогательных функций (AFD). Это позволяет установить TCP-соединение, не используя высокоуровневый Winsock API. Код вручную создает путь к нативному объекту AFD, формирует необходимые структуры для диспетчера объектов Windows и вызывает NtCreateFile для открытия конечной точки. Такой подход, опять же, позволяет избежать детектирования на уровне стандартных сетевых API.
Сетевое взаимодействие построено по многоуровневой схеме. Сначала устанавливается обычное TCP-соединение с IP-адресом 157[.]180[.]40[.]106 на порт 443, что имитирует легитимный HTTPS-трафик. Затем, поверх этого соединения, инициируется рукопожатие TLS через интерфейс SSPI (Security Support Provider Interface). Используются вызовы AcquireCredentialsHandleA и InitializeSecurityContextA с указанием целевого имени playtogga[.]com. После установления защищенного канала зловред проверяет конфигурационный флаг, чтобы определить, отправлять ли данные в открытом виде или шифровать их с помощью EncryptMessage. HTTP-запрос, чаще всего методом POST, формируется вручную. В случае получения от сервера кода ответа 200, данные расшифровываются с помощью AES-256 со статическим ключом, в противном случае выполняется задержка и попытка восстановления соединения.
Функционал кражи данных в ACRStealer управляется через восемь коротких строковых конфигурационных ключей, определяющих цели и задачи. Анализ выявил как классические, так и новые техники. Стеалер начинает с извлечения главного ключа шифрования браузера из файла Local State, используя злоупотребление интерфейсом DPAPI (Data Protection API) для его расшифровки. Однако для обхода более новой защиты - App Bound Encryption, внедренной в Chrome для предотвращения такого рода атак, зловред использует технику внедрения shellcode-кода в процесс браузера. Этот код, не имеющий таблицы импорта, динамически разрешает и вызывает CopyFileA для копирования файла Elevator.exe, ответственного за привилегированные операции в Chrome, что позволяет обойти ограничения и расшифровать конфиденциальную информацию.
Особый интерес представляет целевая кража данных у геймеров. ACRStealer специально ищет и эксфильтрирует учетные данные и токены платформы Steam, извлекая их из конфигурационных файлов (loginuser.vdf, local.vdf) через путь установки в реестре. Это указывает на целенаправленный интерес злоумышленников к этой аудитории, чьи аккаунты часто имеют привязанные платежные средства и ценную цифровую собственность.
Помимо этого, стеалер способен выполнять вторичные полезные нагрузки, используя три основных метода: выполнение команд PowerShell через CreateProcessA (для .ps1 и .exe файлов), выполнение скриптов через Invoke-Expression и, что наиболее важно, техника "опустошения процесса" (process hollowing) с использованием rundll32.exe в качестве процесса-хоста. В последнем случае rundll32.exe создается в приостановленном состоянии, его код подменяется вредоносной нагрузкой, после чего поток возобновляется, что эффективно обманывает средства защиты, отслеживающие создание процессов. Примечательно, что в анализируемой версии реализация выполнения .cmd и .dll файлов, судя по всему, содержит ошибку или не завершена, что может указывать на постоянную разработку.
Завершает процесс кражи создание скриншота экрана с помощью динамически загружаемых библиотек user32.dll и gdi32.dll. Все похищенные данные (файлы браузеров, учетные данные, информация о системе, скриншот) упаковываются в ZIP-архив в памяти с ограничением размера в 40 МБ и отправляются на C2-сервер.
Телеметрия VirusTotal показывает активные инфекции в США, Монголии и Германии, при этом все образцы связывались с одним IP-адресом. Интересно наблюдение за инфраструктурой: домен playtogga[.]com, используемый для TLS-рукопожатия, принадлежит легитимной фэнтези-футбольной платформе, в то время как домен PiviGames, с которого изначально загружался HijackLoader, популярен в испаноязычных странах. Такое смешение с легитимным трафиком усложняет обнаружение. Более того, инфраструктура угрозы остается активной: в начале 2026 года тот же путь загрузки теперь ведет на облачное хранилище Mega и распространяет уже другой стеалер - LummaStealer. Это свидетельствует о постоянной активности злоумышленников, которые, вероятно, продолжают таргетировать пользователей на игровых платформах, форумах и в социальных сетях.
Для специалистов по безопасности данный анализ служит напоминанием о критической важности многоуровневой защиты. Эффективное противодействие таким угрозам требует не только сигнатурного анализа, но и поведенческого детектирования, способного выявлять аномальное использование низкоуровневых syscalls, создание приостановленных процессов и нестандартное сетевое взаимодействие через AFD. Регулярное обновление браузеров до актуальных версий (Chrome v127 и выше включает защиту App Bound Encryption), применение принципа наименьших привилегий для учетных записей и повышение осведомленности пользователей, особенно в геймерских сообществах, о рисках скачивания ПО с непроверенных источников, являются необходимыми мерами митигации. Эволюция ACRStealer наглядно показывает, что современные угрозы становятся тише, умнее и целенаправленнее, требуя от защитников не менее сложного и глубокого подхода к анализу и реагированию.
Индикаторы компрометации
IPv4
- 157.180.40.106
Domains
- playtogga.com
SHA256
- 59202cb766c3034c308728c2e5770a0d074faa110ea981aa88f570eb402540d2
- f88c6e267363bf88be69e91899a35d6f054ca030e96b5d7f86915aa723fb268b
