2024 yılından beri aktif olan ACR Stealer isimli bilgi hırsızı, kurumsal ağlardan tarayıcıda kayıtlı şifreler, aktif oturum tokenları, PDF dosyaları, Microsoft 365 dokümanları ile OneDrive ve SharePoint senkronize klasörlerindeki dosyaları dışarıya sızdırıyor. Saldırılar, çoğunlukla kullanıcının Çalıştır penceresine yapıştırdığı bir komutla başlıyor; ardından kötü amaçlı kodlar devreye giriyor.
Saldırı Zinciri ve Teknik Detaylar
Microsoft’un güvenlik ekipleri, ACR Stealer kampanyalarının Nisan sonundan Haziran ortasına kadar müşterilerinin ortamlarında artış gösterdiğini gözlemledi. Saldırıların temelinde “ClickFix” adlı sahte tuzaklar yer alıyor. Bu tuzaklar, kullanıcıları tarayıcı kimlik bilgileri, oturum tokenları ve hassas belgeleri kaptırmaya ikna ediyor. İki farklı saldırı zinciri var: biri disk üzerinde iz bırakıyor, diğeri neredeyse tamamen bellekte çalışıyor. Kurbanlara sadece şifre değiştirmek değil, oturum tokenlarını iptal etmek öneriliyor.
Dosyasız saldırı zinciri, yapıştırılan komutun mshta.exe aracılığıyla uzaktan HTA içerik çekmesiyle başlıyor. İç içe geçmiş VBScript, COM nesneleri kullanarak PowerShell’i devreye alıyor. Bu aşamada kurban kimliği oluşturuluyor, sertifika doğrulaması devre dışı bırakılıyor ve alınan kod bellekte çalıştırılıyor.
Bu kod, bir görüntü barındırma sitesinden JPEG formatında yükleniyor. İlginç olan, zararlı kodun doğrudan resmin piksellerinde saklanması. Özel algoritmalarla bu veri çıkarılıyor, şifrelenmiş hali çözümleniyor, sıkıştırma açılıyor ve kod yansıtmalı (reflective) olarak çalıştırılıyor. Sonrasında Chrome ve Edge tarayıcılarının Login Data ve Web Data veri tabanlarına erişiliyor. Buradaki şifre, çerez ve tokenlar DPAPI kullanılarak şifresi çözülüyor. Masaüstü ve İndirilenler klasöründeki PDF dosyaları da hedefleniyor.
Mayıs sonunda bir araştırmacı, Google reklamları ve sites.google.com adresleri ardına gizlenmiş Claude isimli yapay zeka asistanı taklidi sayfasından bulaşan Windows enfeksiyonunu kayıt altına aldı. Aynı sayfa MacOS için farklı, Windows için farklı talimatlar servis ediyordu.
Farklı Zincirler, Farklı İzler
Microsoft’un açıklamasına göre, iki zincirin biri diske dosya yazıyor. Bu da savunma ekiplerine inceleme ve müdahale için daha fazla veri sağlıyor. Bu zincirde, yapıştırılan komut HTTPS üzerinden WebDAV paylaşımından DLL indiriyor. Dosya adı ve klasör GUID ile gizlenmiş, Google ile ilişkilendirilebilecek isimler kullanılıyor. Red Canary tarafından daha önce tespit edilen bu yöntem, payload’un yerel sürücü gibi görünen bir yolla çalışmasını sağlıyor.
Payload, PowerShell ile gizlenmiş halde indiriliyor ve %LocalAppData%\Temp altındaki klasöre açılıyor. pythonw.exe ile Python scripti arka planda çalıştırılıyor; kullanıcı ekranında hiçbir şey gözükmüyor. Kurulum sırasında eski sürümler siliniyor, yani kod bir güncelleme mantığıyla hareket ediyor.
Yazılım güncellemesi gibi gizlenen planlanmış görevler saldırının kalıcılığını sağlıyor. Ayrıca kendi dosyalarına notepad.exe zaman damgaları kopyalanıyor ve PowerShell geçmişi temizleniyor. Son aşamada yürütme Windows Fiber API ile bellekten devam ediyor. Bazı vakalarda ikinci bir Python yükleyici blok zincir (blockchain) RPC uç noktaları ve Web3 node altyapısıyla iletişim kuruyor. Böylece komut ve kontrol (C2) adresi ya da ekstra zararlı kodlar halka açık defterlerden çekiliyor. Bu teknik “EtherHiding” olarak adlandırılıyor.
Saldırının Temel Kırılma Noktası ve Öneriler
İlginç olan, bu saldırı zincirlerinde hiçbir yazılım açığı (CVE) kullanılmıyor. Tüm süreç, kullanıcı tarafından yapıştırılıp Enter’a basılan komutla başlıyor; yani insan faktörü en kritik zayıflık. Dolayısıyla yamalar veya sistem güncellemeleri saldırıyı engellemiyor.
Bu durumda kurumlar, “Çalıştır” penceresinin kullanımını kısıtlamalı ve mshta.exe gibi araçlara uygulama kontrolü getirmeli. Ayrıca PowerShell, Python, rundll32.exe gibi araçların internetten gelen içerikleri Downloads, Temp ya da %LocalAppData% dizinlerinden çalıştırması engellenmeli. Ağ üzerinde rundll32.exe komut satırı parametresiz çalışırken kurumsal güvenlik ekipleri tarafından izlenmeli. Planlanmış görevlerde yazılım güncellemesi kılıfı sorgulanmalı, zaman damgası değişiklikleri ve PowerShell geçmiş temizliği dikkatle takip edilmeli.
Şüpheli bir sistemde izolasyon sağlanmalı, kullanıcı kimlik bilgileri değiştirilip tokenlar iptal edilmeli, uzak paylaşımlar ve imaj barındırma servislerine yapılan bağlantılar kontrol edilmeli. Bu noktada Defender XDR ve benzeri uç nokta tespit araçlarının sağladığı av sorguları kritik rol oynuyor.
Teknik Özet ve Siber Güvenlik Perspektifi
ACR Stealer, farklı varyantlarıyla hem dosyasız hem de diske yazan yöntemler kullanıyor. Genellikle kurumsal ortamları hedefleyen saldırılar, tarayıcı verilerini, Microsoft 365 dosyalarını ve OneDrive/SharePoint klasörlerini hedef alıyor. Saldırılar, kullanıcıların sosyal mühendislik ile kandırılması sonucu başlıyor ve ardından çok aşamalı hafıza içi kod yürütme teknikleri devreye giriyor.
Bu tip saldırılar, özellikle bulut güvenliği ve kimlik yönetimi (IAM) alanlarında yeni riskler anlamına geliyor. Çünkü ele geçirilen oturum tokenları, çok faktörlü doğrulamanın (MFA) ötesinde erişim sağlayabiliyor. Kurumsal ağ segmentasyonu ve olay müdahale (incident response) planlarının bu tür senaryoları kapsayacak şekilde güncellenmesi gerekiyor.
Kurumsal Güvenlik Ekiplerine Pratik Öneriler
- GPO ile Çalıştır (Run) penceresinin kullanımını sınırlandırın.
mshta.exeverundll32.exegibi araçların internetten içerik çekmesini AppLocker veya WDAC ile engelleyin.- PowerShell, Python gibi betik dillerinin kullanıcı dizinlerinden doğrudan kod çalıştırmasını kısıtlayın.
- Rundll32.exe’nin komut satırı parametresiz ağ bağlantıları yapıp yapmadığını düzenli kontrol edin.
- Planlanmış görevler ve zaman damgaları üzerinde sürekli denetim sağlayın.
- Kimlik bilgileri ve oturum tokenlarını düzenli olarak iptal edin ve yenileyin.
- Şüpheli bağlantılar için ağ trafiğini ve paylaşımları izleyin.
- Defender XDR ve benzeri EDR araçlarının sağladığı av sorgularını kullanın.
