Resumo: O infostealer ACR Stealer, ativo desde 2024, ganhou tração em ambientes corporativos entre abril e junho e agora usa iscas ClickFix para roubar senhas de navegador, tokens de sessão e arquivos do Microsoft 365, OneDrive e SharePoint. A equipe Defender Experts, da Microsoft, documentou duas cadeias de entrega — uma com pegada em disco e outra praticamente fileless — e alerta que a mitigação exige revogar tokens, não apenas trocar senhas.
Em relatório publicado nesta semana, a Microsoft afirma que sua equipe de detecção gerenciada observou crescimento consistente de atividade do ACR Stealer entre o fim de abril e meados de junho, com campanhas que usam iscas do tipo ClickFix para induzir usuários a colar comandos em uma caixa “Executar” do Windows. O clique final que abre a porta para a intrusão parte do próprio usuário, não de uma exploração de vulnerabilidade.
A entrega inicial costuma vir por malvertising e por resultados de busca manipulados via SEO — táticas que colocam o vetor em um patamar difícil de conter apenas com listas de bloqueio ou reputação de domínio. Uma vez executado, o ACR Stealer bifurca em dois caminhos: uma cadeia deixa artefatos no disco disfarçados de instaladores legítimos, e outra permanece quase inteiramente em memória, dificultando a resposta forense.
A Microsoft observa que ambas as cadeias inauguram exatamente com o mesmo prompt — um comando aparentemente inofensivo que a vítima cola no Run — e só depois se separam. A guidance de remediação é explícita: em contas comprometidas, é preciso revogar tokens de autenticação, não apenas girar senhas, porque a sessão sequestrada continua válida enquanto o token não for invalidado no lado do provedor.
Na cadeia com pegada em disco, o carregador se disfarça como um instalador conhecido (a Microsoft cita “LogiOptionsPlus” como exemplo) e é depositado em %LocalAppData%\Temp. Um pythonw.exe empacotado executa um script Python sem abrir janela, e o instalador remove versões anteriores do próprio malware — comportamento típico de updater. A persistência é garantida por uma tarefa agendada oculta que finge ser atualização de software.
Para dificultar a análise, o loader copia timestamps do notepad.exe para os próprios arquivos (uma técnica clássica de timestomp) e limpa o histórico do PowerShell. O estágio final permanece em memória e transfere execução via a API Windows Fiber, um recurso legítimo do sistema operacional que raramente aparece em produtos de EDR como alerta de alta prioridade.
Em um subconjunto das intrusões, um segundo loader Python conversa com endpoints RPC públicos de blockchain e nós Web3 para recuperar tanto o payload quanto o endereço do servidor de comando e controle. A Microsoft chama a técnica de EtherHiding: o ponteiro é gravado em um smart contract, e não sobra um resolver controlado pelo atacante para as autoridades derrubarem.
“As campanhas estão usando iscas ClickFix com sucesso para roubar credenciais de navegador, tokens de autenticação e documentos sensíveis.” — Microsoft Defender Experts
O alvo principal são endpoints corporativos com sessões ativas de Microsoft 365. Além de senhas e cookies, o ACR Stealer varre arquivos locais em busca de PDFs, documentos do Office e conteúdo sincronizado por OneDrive e SharePoint. Uma vez de posse do token de sessão, o atacante consegue abrir a caixa de correio, o Teams e o SharePoint sem passar por MFA — o segundo fator já foi validado quando a sessão original foi emitida.
Esta campanha reforça três tendências que vêm se consolidando ao longo de 2026. Primeiro, o ClickFix continua sendo um dos social engineers mais eficientes do momento — no ano passado, também apareceu em campanhas do Ghost CMS que sequestraram mais de 700 sites e em ataques atribuídos ao TA505. É barato, dispensa exploit e transfere o custo técnico para o usuário. Segundo, o uso de EtherHiding e Web3 como infraestrutura resiliente de C2 se popularizou depois das operações do Lazarus em 2023 e agora aparece em famílias comuns de infostealer — não mais só em campanhas de estado. Terceiro, a fronteira entre “malware fileless” e “malware com pegada mínima” está sumindo: os operadores intercalam pontos de contato com o disco só o suficiente para persistência, mas deixam a execução crítica em memória.
Do lado da defesa, o recado é desconfortável: a resposta padrão de “trocar senha e passar antivírus” não interrompe o acesso já obtido. Enquanto o token de refresh continuar válido, o atacante mantém presença silenciosa em todos os serviços integrados ao tenant M365.
Revoke-AzureADUserAllRefreshToken) além de resetar senhaspythonw.exe em caminhos de usuário via WDAC ou AppLocker quando não houver necessidade legítimapython*.exe ou binários assinados por certificados de baixa reputaçãoEspere ver ClickFix aparecer em outras famílias de stealer nos próximos meses — a receita é replicável e o retorno para os operadores é alto. Times de resposta a incidentes precisam adicionar “revogação de tokens” ao runbook padrão e, no médio prazo, reduzir a superfície permitindo apenas navegadores gerenciados com bloqueio de execução de comandos externos via URL handlers. No Brasil, empresas com forte adoção de M365 e OneDrive/SharePoint (segmento financeiro, saúde, indústria) estão no perfil clássico de vítima; nossa recomendação é revisar a política de refresh token e o logging de sign-in risk no Entra ID já esta semana.
Fonte: The Hacker News
CISA adicionou ao KEV duas vulnerabilidades críticas (CVSS 9.1) no FortiSandbox com exploração ativa. Uma…
Invasão a servidores da maior operadora de logística refrigerada do Japão causou desabastecimento em mais…
Figure 1 robo/hora rodando na BMW, Unitree com IPO relampago na STAR e Tesla convertendo…
Pesquisadores documentam ADI: ataque forja campos confiaveis e passa por defesas de prompt injection. Claude…
Startup Subquadratic diz ter derrubado o gargalo da attention quadrática dos LLMs: 12M tokens, 56x…
Anthropic protocolou S-1 confidencial e planeja IPO até outubro de 2026 a US$ 965 bi.…