Laut Microsoft gelangen die Köder wahrscheinlich über bösartige Werbung oder über Suchergebnisse mit manipuliertem Suchmaschinen-Ranking zu den Opfern. In der dateilosen Kette startet der eingefügte Befehl mshta.exe, um entfernte HTA-Inhalte nachzuladen. Ein eingebetteter VBScript-Loader nutzt COM-Objekte, um PowerShell zu dekodieren und auszuführen. Diese Stufe erzeugt eine Opferkennung, deaktiviert die Zertifikatsprüfung und führt den nachgeladenen Code direkt im Arbeitsspeicher aus.

Die Nutzlast kommt dabei als JPEG von einem Bilderhoster. Der Schadcode steckt laut Microsoft in den Bilddaten und wird mit eigens dafür vorgesehenen Routinen extrahiert, entschlüsselt, dekomprimiert und anschließend reflektiv ausgeführt. Danach greift ACR Stealer Chrome und Edge an, liest die Datenbanken „Login Data“ und „Web Data“ aus und verwendet DPAPI, um Passwörter, Cookies und Tokens zu entschlüsseln. Zusätzlich werden PDFs vom Desktop und aus dem Downloads-Ordner eingesammelt.

Brad Duncan vom SANS Internet Storm Center dokumentierte am 26. Mai eine Windows-Infektion, die er auf eine Seite zurückführte, die Claude, den KI-Assistenten von Anthropic, nachahmte. Erreicht wurde sie über bösartige Google-Anzeigen und häufig über URLs unter sites.google.com verborgen. Je nach Betriebssystem zeigte die Seite macOS- oder Windows-Anweisungen an. Microsoft nennt den Köder selbst nicht, verweist aber in seinem Bericht auf Duncans Analyse. The Hacker News ordnete zudem die in Microsofts Tabelle zu „Campaign 2“ genannten Indikatoren creativecommunityinfo[.]art und enhanceblabber[.]cc derselben Kette zu.

Auch Red Canary hatte einen Monat zuvor Claude-bezogene Köder beobachtet. Dort wurde ACR Stealer über gefälschte Claude-Code-Seiten auf GitLab wie claude-desktop[.]gitlab[.]io verteilt. Red Canary meldete zudem, dass ClearFake, ein Cluster aus Web-Injektionen, das ACR Stealer seit mindestens März 2025 verbreitet, im April erstmals Platz eins der am weitesten verbreiteten Bedrohungen belegte. ACR Stealer selbst erreichte in dieser Telemetrie einen geteilten sechsten Platz unter den Top Ten. Microsoft erwähnt ClearFake in den beiden beschriebenen Ketten allerdings nicht.

Die erste von Microsoft beschriebene Kette schreibt auf den Datenträger. Der eingefügte Befehl lädt dabei eine DLL direkt von einer WebDAV-Freigabe über HTTPS nach. Genutzt werden ein GUID-Verzeichnis und ein Dateiname, der harmlos wirken soll; Microsoft nennt als Beispiel google.ct. Red Canary veröffentlichte laut Bericht bereits im Mai ein ähnliches Muster auf Basis von Telemetrie aus dem April.

Zwei der drei von Defender Experts beobachteten Varianten verwenden pushd, um die entfernte Freigabe zunächst als temporäres lokales Laufwerk einzubinden. Die unauffälligste Variante startet dies über conhost.exe –headless, um das Konsolenfenster zu unterdrücken, und verschleiert Zeichenfolgen für pushd, rundll32 und den entfernten Host über verzögerte Auflösung von Umgebungsvariablen. Danach folgt verschleierte PowerShell, die ein ZIP-Archiv mit unauffälligem Namen in einen Ordner unter %LocalAppData%\Temp ablegt; Microsoft nennt LogiOptionsPlus als Beispiel. Ein mitgeliefertes pythonw.exe startet anschließend das Python-Skript ohne sichtbares Fenster. Der Installer entfernt ältere Kopien vor der Installation und fungiert damit als Updater.

Für die Persistenz sorgt eine versteckte geplante Aufgabe, die sich als Software-Update tarnt. Außerdem kopiert die Malware Zeitstempel von notepad.exe auf ihre eigenen Dateien und löscht PowerShell-Verläufe. Die letzte Stufe bleibt im Speicher und reicht die Ausführung über die Windows Fiber API weiter. In einem Teil dieser Einbrüche kommuniziert ein zweiter Python-Loader mit öffentlichen Blockchain-RPC-Endpunkten und Web3-Knoten-Infrastruktur, vermutlich um eine Nutzlast oder eine C2-Adresse aus einem öffentlichen Ledger zu beziehen. Microsoft bezeichnet diese Technik als EtherHiding.

Microsoft betont, dass die Zuordnung zu ACR Stealer auf beobachtetem Verhalten und der nachgelagerten Angriffstechnik beruht, abgeglichen mit öffentlich bekannten Infrastrukturmerkmalen der Familie. Einen konkreten Bedrohungsakteur nennt das Unternehmen nicht. Zu der Familie selbst gibt es unterschiedliche Einordnungen: eSentire erklärt, der Quellcode sei verkauft worden, während Proofpoint auf einen anderen Ablauf rund um die Einstellung des Angebots verweist. Einig sind sich die Anbieter beim Rebranding: Proofpoint berichtete im Juni 2025, ACR Stealer sei erheblich überarbeitet und als Amatera Stealer neu aufgestellt worden. Red Canary behandelt ACR und Amatera als eine Familie.

Mit dem Bericht veröffentlichte Microsoft drei Hunting-Abfragen für Defender XDR und 16 Kampagnendomains. Diese Indikatoren seien jedoch nur repräsentativ und deckten nicht die gesamte Bandbreite der Familie ab; weitere Kampagnen und Infrastruktur seien wahrscheinlich aktiv.