ACR Stealer usa ClickFix para atacar Microsoft 365

ACR Stealer usa ClickFix para atacar Microsoft 365

O ACR Stealer está mostrando que, atualmente, os ataques mais perigosos nem sempre exploram falhas no Windows. Em vez disso, eles exploram algo muito mais difícil de corrigir: o comportamento humano. A nova campanha utiliza a técnica de ClickFix, uma sofisticada forma de engenharia social que convence vítimas a copiar e colar comandos maliciosos na caixa Executar do Windows, acreditando que estão resolvendo um problema de verificação ou acesso.

O objetivo dos criminosos é instalar silenciosamente o malware ACR Stealer, um infostealer especializado no roubo de credenciais, cookies, tokens de autenticação e informações armazenadas em navegadores como Google Chrome e Microsoft Edge. Em campanhas recentes, os invasores também passaram a mirar contas do Microsoft 365, OneDrive e outros serviços corporativos, aumentando significativamente o impacto para empresas e usuários domésticos.

O mais preocupante é que o ataque não depende de uma vulnerabilidade no sistema operacional. Em vez disso, ele utiliza páginas falsas que imitam serviços conhecidos, como ferramentas de inteligência artificial, para convencer a própria vítima a executar o código malicioso. Essa mudança representa uma evolução importante na forma como o cibercrime opera e reforça que a conscientização do usuário continua sendo uma das principais camadas de defesa.

O que é o ClickFix e como as iscas de IA funcionam

A técnica ClickFix tornou-se uma das estratégias de engenharia social mais eficientes dos últimos meses. Em vez de explorar uma falha técnica, ela cria uma situação aparentemente legítima para que o próprio usuário execute a infecção.

Os criminosos criam páginas falsas que imitam serviços populares, incluindo plataformas de inteligência artificial, como o Claude, da Anthropic, além de outras ferramentas bastante conhecidas. Essas páginas costumam ser distribuídas por anúncios patrocinados, domínios comprometidos ou projetos hospedados em plataformas como GitLab, aumentando sua aparência de legitimidade.

Ao acessar o site falso, a vítima encontra mensagens como:

  • “Confirme que você não é um robô.”
  • “Corrija um erro de conexão.”
  • “Atualize o navegador.”
  • “Execute este comando para validar sua sessão.”

Em vez de um CAPTCHA verdadeiro, o visitante recebe instruções detalhadas para copiar um comando e executá-lo manualmente.

Essa abordagem funciona porque muitas pessoas já estão acostumadas a seguir tutoriais técnicos na internet. Quando o procedimento parece oficial e visualmente confiável, a tendência é obedecer às instruções sem questionar sua origem.

Malware

O perigo da caixa Executar do Windows

A caixa Executar (Win + R) existe para facilitar a execução rápida de programas e comandos administrativos.

O problema é que ela também permite executar comandos complexos capazes de baixar arquivos, iniciar scripts em PowerShell, chamar o MSHTA, utilizar o CMD e acionar diversos componentes internos do Windows.

Na campanha do ACR Stealer, o usuário copia uma longa sequência de caracteres aparentemente incompreensível e a cola diretamente nessa janela.

Em poucos segundos, o comando:

  • inicia um processo legítimo do Windows;
  • baixa um script remoto;
  • executa código diretamente na memória;
  • instala o malware sem levantar suspeitas.

Como a própria vítima autorizou a execução, muitos mecanismos tradicionais de proteção têm menos oportunidades para interromper a cadeia inicial do ataque.

É justamente esse comportamento que torna o ClickFix tão eficiente: o usuário acredita estar resolvendo um problema quando, na realidade, está concedendo acesso ao invasor.

Por dentro do ataque: malware em pixels e blockchain

Pesquisadores da Microsoft e da Red Canary identificaram diferentes cadeias de infecção utilizadas pelo ACR Stealer. Embora apresentem pequenas variações, todas compartilham um objetivo comum: dificultar a detecção por soluções tradicionais de segurança.

Além da engenharia social, os operadores do malware passaram a esconder partes importantes da infraestrutura de ataque utilizando imagens aparentemente comuns e até recursos públicos da blockchain.

Essa combinação torna a investigação significativamente mais complexa.

A cadeia sem arquivos e a esteganografia

Uma das técnicas mais sofisticadas observadas é conhecida como ataque fileless (sem arquivos).

Nesse modelo, grande parte da execução ocorre diretamente na memória do sistema, reduzindo a quantidade de arquivos gravados no disco e dificultando a atuação de antivírus baseados apenas em assinaturas.

Outro elemento importante é a utilização de esteganografia.

Em vez de baixar um script visivelmente malicioso, o sistema obtém uma imagem JPEG aparentemente inocente.

Visualmente, trata-se apenas de uma fotografia comum.

Entretanto, escondidos nos pixels da imagem existem dados codificados que são extraídos por um script durante a execução.

Essas informações revelam os próximos comandos da cadeia de ataque.

Depois dessa etapa, o malware consegue acessar informações protegidas pela DPAPI (Data Protection API) do Windows.

A DPAPI é um mecanismo criado pela Microsoft para proteger credenciais armazenadas localmente. Quando um invasor consegue executar código dentro da sessão do próprio usuário, torna-se possível descriptografar diversas informações legítimas armazenadas pelo sistema.

Entre os principais alvos estão:

  • senhas salvas no Chrome;
  • credenciais do Microsoft Edge;
  • cookies de autenticação;
  • tokens de sessão;
  • dados utilizados pelo Microsoft 365.

Esses tokens são especialmente valiosos porque permitem acessar serviços sem que o criminoso precise conhecer a senha da vítima.

A técnica EtherHiding e o uso da Web3

Outro recurso empregado na campanha é conhecido como EtherHiding.

Nesse modelo, os criminosos utilizam contratos inteligentes hospedados em blockchains públicas para armazenar informações utilizadas durante o ataque.

Em vez de manter servidores tradicionais de comando e controle (C2), eles gravam endereços e configurações dentro da própria blockchain.

Quando o malware precisa descobrir seu próximo destino, consulta essas informações públicas.

Isso oferece diversas vantagens aos invasores:

  • reduz a dependência de servidores convencionais;
  • dificulta o bloqueio da infraestrutura;
  • aumenta a resiliência da campanha;
  • permite alterar rapidamente os destinos do malware.

Como blockchains públicas são descentralizadas, remover essas informações é muito mais complicado do que simplesmente derrubar um domínio malicioso.

Essa combinação entre Web3, esteganografia, PowerShell, ClickFix e engenharia social mostra como as campanhas modernas estão cada vez mais sofisticadas.

Como o ACR Stealer compromete contas do Microsoft 365

O foco do ACR Stealer vai muito além do roubo de senhas.

Os pesquisadores observaram interesse crescente em tokens de autenticação, principalmente aqueles utilizados por serviços do Microsoft 365, OneDrive e aplicações corporativas.

Esses tokens funcionam como comprovantes temporários de que o usuário já realizou login com sucesso.

Se forem roubados, o criminoso pode reutilizá-los para acessar serviços sem precisar informar novamente usuário, senha ou até mesmo passar pela autenticação multifator (MFA), dependendo da configuração da sessão.

É justamente por isso que muitas vítimas acreditam estar protegidas apenas por trocar suas senhas, quando na verdade o invasor continua autenticado utilizando um token válido.

Para empresas, esse cenário representa um risco significativo de vazamento de documentos, acesso a e-mails corporativos e comprometimento de ambientes em nuvem.

Como se proteger e mitigar a ameaça do ACR Stealer

A melhor defesa continua sendo impedir que a infecção aconteça.

Algumas práticas reduzem drasticamente o risco de comprometimento.

Nunca copie e cole comandos desconhecidos na caixa Executar, no PowerShell ou no Prompt de Comando, mesmo que um site afirme ser necessário para liberar um CAPTCHA ou corrigir um erro.

Desconfie de páginas que peçam procedimentos incomuns para validar sua identidade. Serviços legítimos praticamente nunca exigem que usuários executem comandos locais para acessar uma página.

Mantenha o Microsoft Defender e outras soluções de segurança sempre atualizados.

Ative a autenticação multifator (MFA) em todas as contas importantes.

Monitore logins suspeitos em contas do Microsoft 365 e serviços corporativos.

Caso exista suspeita de infecção, não basta trocar a senha.

Também é necessário:

  • revogar todos os tokens ativos de autenticação;
  • encerrar sessões abertas;
  • invalidar cookies persistentes;
  • verificar dispositivos conectados;
  • executar uma varredura completa com ferramentas de segurança confiáveis.

Essas medidas impedem que um invasor continue utilizando sessões já autenticadas.

Além disso, empresas devem investir continuamente em treinamentos de conscientização contra engenharia social, já que campanhas como o ClickFix exploram diretamente o fator humano.

Conclusão

O ACR Stealer demonstra como o cenário das ameaças digitais está evoluindo rapidamente. Em vez de depender exclusivamente de vulnerabilidades técnicas, os criminosos estão apostando em campanhas que manipulam a confiança das pessoas e transformam ações aparentemente inofensivas em portas de entrada para ataques sofisticados.

A combinação entre ClickFix, esteganografia, PowerShell, EtherHiding e roubo de tokens do Microsoft 365 representa uma mudança importante no perfil dos ataques modernos. Agora, uma simples ação de copiar e colar pode comprometer contas corporativas, documentos na nuvem e informações pessoais sem que a vítima perceba imediatamente.

A principal lição é clara: nenhum site confiável solicitará que você copie e execute comandos desconhecidos para provar que não é um robô. Desenvolver esse senso crítico é uma das formas mais eficazes de reduzir o sucesso desse tipo de campanha.