Microsoft advierte sobre el aumento de ataques del malware ACR Stealer contra sus clientes
Microsoft ha emitido recientemente una alerta de seguridad sobre un aumento significativo en la actividad de ACR Stealer, que afecta a clientes empresariales. Este malware modular ha sido diseñado específicamente para extraer credenciales, contraseñas guardadas en navegadores, tokens de autenticación y documentos confidenciales de equipos infectados. Esta campaña representa una amenaza persistente, ya que evade los mecanismos de detección basados en firmas utilizados por soluciones antivirus tradicionales.
Los ciberdelincuentes detrás de estas campañas suelen obtener acceso inicial mediante phishing o ingeniería social, para luego desplegar el payload de ACR Stealer y exfiltrar información valiosa a servidores de comando y control (C2). La dependencia de los datos almacenados en los navegadores lo convierte en una amenaza crítica, ya que permite a los atacantes eludir el despliegue de autenticación multifactor (MFA) cuando los tokens de sesión son comprometidos.
Contexto
El malware de tipo infostealer ha evolucionado, pasando de simples keyloggers a marcos modulares sofisticados con capacidades avanzadas de persistencia. ACR Stealer sigue esta tendencia, utilizando un modelo de ejecución en múltiples etapas. Primero perfila el sistema para determinar si es un entorno real o virtualizado, intentando evadir el análisis antes de proceder a la extracción de datos.
Estas campañas forman parte del modelo "malware-as-a-service", donde las credenciales robadas se venden en foros de la dark web o se utilizan para movimientos laterales. Debido a que estas herramientas son accesibles, la complejidad operativa para los atacantes es baja, permitiendo una rápida distribución.
Por qué importa
El peligro principal de ACR Stealer es su capacidad para comprometer la persistencia de las sesiones. Muchos modelos de seguridad confían en el MFA para proteger el acceso a recursos en la nube. Sin embargo, cuando un atacante roba un token de autenticación válido, "suplanta" al usuario, haciendo que los prompts de MFA sean irrelevantes durante la sesión.
La extracción de documentos confidenciales también permite a los atacantes realizar ataques de Business Email Compromise (BEC). Este cambio hacia la exfiltración de documentos indica un enfoque agresivo que los departamentos de TI deben priorizar.
La foto completa
Este incidente refleja una tendencia creciente de campañas que apuntan a la capa humana de la seguridad. Dado que el navegador es la puerta principal al trabajo, los atacantes aprovechan el robo de tokens. La historia muestra que, mientras no se implementen autenticaciones vinculadas al dispositivo, la frecuencia de estos ataques seguirá siendo alta.
Te afecta si
- Utilizas navegadores para acceder a recursos corporativos en la nube.
- Tu organización permite el almacenamiento local de credenciales o tokens.
- No tienes políticas de acceso condicional estrictas basadas en el cumplimiento de dispositivos.
- Tus empleados manejan documentos confidenciales a través de portales web.
Qué hacer ahora
Para defenderte de ACR Stealer, implementa políticas de acceso condicional que requieran la verificación continua del estado del dispositivo. Evita depender exclusivamente de tokens de sesión persistentes y exige la re-autenticación periódica.
Asegúrate de que tus herramientas de EDR estén configuradas para detectar procesos anómalos en el navegador y tráfico de red no autorizado. Educa a tus usuarios sobre phishing y considera el uso de llaves de seguridad físicas para prevenir ataques de robo de tokens.
Este es nuestro propio resumen y análisis. La cobertura original está en BleepingComputer →