През 2024 г. се появи нов зловреден софтуер, наречен ACR Stealer, който успешно компрометира корпоративни мрежи, като краде чувствителна информация от браузъри и облачни услуги на Microsoft. Този инфостийлър се отличава с възможността да извлича не само запазени пароли и сесийни токени, но и документи от Microsoft 365, включително файлове, съхранявани в OneDrive и SharePoint.
Какво представлява ACR Stealer и как работи?
ACR Stealer е зловреден софтуер, който се разпространява чрез техники за социално инженерство, като примамва жертвите да изпълнят определена команда в Windows Run. След като потребителят въведе и стартира командата, зловредният код се активира и започва да събира информация от браузърите, включително пароли и сесийни токени, които позволяват достъп до активни сесии. Освен това, ACR Stealer има възможност да извлича PDF файлове и документи от Microsoft 365, както и файлове, синхронизирани с OneDrive и SharePoint, което го прави особено опасен за организациите, които разчитат на тези услуги за съхранение и споделяне на информация.
Защо тази заплаха е значима?
Кражбата на сесийни токени и документи от Microsoft 365 представлява сериозен риск за сигурността на предприятията, тъй като позволява на нападателите да получат достъп до корпоративни ресурси без необходимост от повторно въвеждане на пароли. Това може да доведе до изтичане на конфиденциална информация, финансови загуби и нарушаване на доверието между партньори и клиенти. Освен това, използването на методи, които изискват минимално взаимодействие от страна на потребителя – само изпълнение на команда – затруднява откриването и предотвратяването на атаките.
По-широк контекст на заплахата
В последните години инфостийлърите се превърнаха в една от най-разпространените форми на киберпрестъпления, като атакуват както индивидуални потребители, така и големи организации. Разпространението на облачни услуги като Microsoft 365 увеличава риска, тъй като компрометирането на един акаунт може да доведе до достъп до множество свързани системи и данни. Тенденцията към дистанционна работа и използването на множество устройства също усложнява защитата на корпоративните мрежи и данни.
Какво следва и как да се предпазим?
За да се намали рискът от заразяване с ACR Stealer и подобни зловредни програми, компаниите трябва да засилят обучението на служителите по отношение на киберсигурността, особено в разпознаването на подозрителни команди и файлове. Внедряването на многофакторна автентикация и мониторинг на сесийните токени може да затрудни злоупотребите с компрометирани данни. Освен това, използването на модерни антивирусни решения и системи за откриване на заплахи, като Microsoft Defender Experts, е ключово за ранното идентифициране и блокиране на подобни атаки.
В заключение, ACR Stealer подчертава необходимостта от комплексен подход към киберсигурността, който включва както технологични мерки, така и повишена осведоменост на потребителите. Само чрез съвместни усилия може да се намали въздействието на такива заплахи върху бизнеса и потребителите.