ACR Stealer usa iscas ClickFix para roubar tokens de navegador e arquivos do Microsoft 365

Microsoft alerta que o ACR Stealer, ativo desde 2024, ganhou tração entre abril e junho usando iscas ClickFix para roubar senhas, tokens de sessão e documentos do Microsoft 365, OneDrive e SharePoint. Mitigação exige revogar tokens, não só resetar senhas.

acr-stealer-clickfix

Resumo: O infostealer ACR Stealer, ativo desde 2024, ganhou tração em ambientes corporativos entre abril e junho e agora usa iscas ClickFix para roubar senhas de navegador, tokens de sessão e arquivos do Microsoft 365, OneDrive e SharePoint. A equipe Defender Experts, da Microsoft, documentou duas cadeias de entrega — uma com pegada em disco e outra praticamente fileless — e alerta que a mitigação exige revogar tokens, não apenas trocar senhas.

O que aconteceu

Em relatório publicado nesta semana, a Microsoft afirma que sua equipe de detecção gerenciada observou crescimento consistente de atividade do ACR Stealer entre o fim de abril e meados de junho, com campanhas que usam iscas do tipo ClickFix para induzir usuários a colar comandos em uma caixa “Executar” do Windows. O clique final que abre a porta para a intrusão parte do próprio usuário, não de uma exploração de vulnerabilidade.

A entrega inicial costuma vir por malvertising e por resultados de busca manipulados via SEO — táticas que colocam o vetor em um patamar difícil de conter apenas com listas de bloqueio ou reputação de domínio. Uma vez executado, o ACR Stealer bifurca em dois caminhos: uma cadeia deixa artefatos no disco disfarçados de instaladores legítimos, e outra permanece quase inteiramente em memória, dificultando a resposta forense.

A Microsoft observa que ambas as cadeias inauguram exatamente com o mesmo prompt — um comando aparentemente inofensivo que a vítima cola no Run — e só depois se separam. A guidance de remediação é explícita: em contas comprometidas, é preciso revogar tokens de autenticação, não apenas girar senhas, porque a sessão sequestrada continua válida enquanto o token não for invalidado no lado do provedor.

Como o ataque funciona

Na cadeia com pegada em disco, o carregador se disfarça como um instalador conhecido (a Microsoft cita “LogiOptionsPlus” como exemplo) e é depositado em %LocalAppData%\Temp. Um pythonw.exe empacotado executa um script Python sem abrir janela, e o instalador remove versões anteriores do próprio malware — comportamento típico de updater. A persistência é garantida por uma tarefa agendada oculta que finge ser atualização de software.

Para dificultar a análise, o loader copia timestamps do notepad.exe para os próprios arquivos (uma técnica clássica de timestomp) e limpa o histórico do PowerShell. O estágio final permanece em memória e transfere execução via a API Windows Fiber, um recurso legítimo do sistema operacional que raramente aparece em produtos de EDR como alerta de alta prioridade.

Em um subconjunto das intrusões, um segundo loader Python conversa com endpoints RPC públicos de blockchain e nós Web3 para recuperar tanto o payload quanto o endereço do servidor de comando e controle. A Microsoft chama a técnica de EtherHiding: o ponteiro é gravado em um smart contract, e não sobra um resolver controlado pelo atacante para as autoridades derrubarem.

“As campanhas estão usando iscas ClickFix com sucesso para roubar credenciais de navegador, tokens de autenticação e documentos sensíveis.” — Microsoft Defender Experts

Quem é afetado e por que importa

O alvo principal são endpoints corporativos com sessões ativas de Microsoft 365. Além de senhas e cookies, o ACR Stealer varre arquivos locais em busca de PDFs, documentos do Office e conteúdo sincronizado por OneDrive e SharePoint. Uma vez de posse do token de sessão, o atacante consegue abrir a caixa de correio, o Teams e o SharePoint sem passar por MFA — o segundo fator já foi validado quando a sessão original foi emitida.

  • Ambientes com usuários administrativos locais e sessões federadas com M365
  • Times que instalam software com frequência a partir de links de anúncios ou resultados de busca
  • Organizações sem política de revogação massiva de tokens em incidentes
  • Estações sem EDR configurado para inspecionar o uso da Windows Fiber API por processos incomuns

Análise

Esta campanha reforça três tendências que vêm se consolidando ao longo de 2026. Primeiro, o ClickFix continua sendo um dos social engineers mais eficientes do momento — no ano passado, também apareceu em campanhas do Ghost CMS que sequestraram mais de 700 sites e em ataques atribuídos ao TA505. É barato, dispensa exploit e transfere o custo técnico para o usuário. Segundo, o uso de EtherHiding e Web3 como infraestrutura resiliente de C2 se popularizou depois das operações do Lazarus em 2023 e agora aparece em famílias comuns de infostealer — não mais só em campanhas de estado. Terceiro, a fronteira entre “malware fileless” e “malware com pegada mínima” está sumindo: os operadores intercalam pontos de contato com o disco só o suficiente para persistência, mas deixam a execução crítica em memória.

Do lado da defesa, o recado é desconfortável: a resposta padrão de “trocar senha e passar antivírus” não interrompe o acesso já obtido. Enquanto o token de refresh continuar válido, o atacante mantém presença silenciosa em todos os serviços integrados ao tenant M365.

Recomendações práticas

  • Em qualquer suspeita de comprometimento, execute revogação em massa de tokens no Entra ID (Revoke-AzureADUserAllRefreshToken) além de resetar senhas
  • Bloqueie a execução de pythonw.exe em caminhos de usuário via WDAC ou AppLocker quando não houver necessidade legítima
  • Configure alertas para tarefas agendadas criadas com nomes de “software update” fora do padrão gerenciado por WSUS/Intune
  • Ative políticas de Conditional Access que exigem reautenticação frequente em dispositivos não gerenciados
  • Educação de usuários: nenhum instalador legítimo pede para colar comando na caixa “Executar”
  • Monitore chamadas incomuns à Windows Fiber API a partir de processos python*.exe ou binários assinados por certificados de baixa reputação

Cenário e o que muda

Espere ver ClickFix aparecer em outras famílias de stealer nos próximos meses — a receita é replicável e o retorno para os operadores é alto. Times de resposta a incidentes precisam adicionar “revogação de tokens” ao runbook padrão e, no médio prazo, reduzir a superfície permitindo apenas navegadores gerenciados com bloqueio de execução de comandos externos via URL handlers. No Brasil, empresas com forte adoção de M365 e OneDrive/SharePoint (segmento financeiro, saúde, indústria) estão no perfil clássico de vítima; nossa recomendação é revisar a política de refresh token e o logging de sign-in risk no Entra ID já esta semana.

Fonte: The Hacker News