Die erste von Microsoft beschriebene Kampagne beginnt mit einem ClickFix-Köder. Dieser bringt das Opfer dazu, einen Befehl auszuführen, der über rundll32.exe eine schädliche DLL aus einer entfernten WebDAV-Freigabe startet. Der Missbrauch von WebDAV ist dabei keine neue Taktik; Microsoft verweist darauf, dass sie bereits bei früheren Angriffen zur Verteilung von Bumblebee- und Voldemort-Malware genutzt wurde.

Laut Microsoft verwendet der Bedrohungsakteur im WebDAV-Pfad typischerweise eine auf GUIDs basierende Verzeichnisstruktur sowie Dateinamen, die legitime Ressourcen nachahmen sollen, etwa „google.ct“. So soll sich die Aktivität besser in erwarteten Netzwerkverkehr einfügen. Nachdem die Kommunikation mit der Command-and-Control-Infrastruktur aufgebaut wurde, wird nach Angaben des Unternehmens „ein stark verschleiertes PowerShell-Skript“ ausgeführt, das einen Malware-Installer startet und Persistenz einrichtet.

Zu dieser Routine gehören laut Microsoft die Installation eines gebündelten Python-Loaders, das Anlegen einer geplanten Aufgabe, die als Software-Update getarnt ist, die Manipulation von Zeitstempeln, das Löschen der PowerShell-Historie und das Injizieren der finalen Nutzlast in einen Systemprozess zur Ausführung im Arbeitsspeicher. Einige Varianten nutzen zudem öffentliche Blockchain-Dienste als Dead-Drop-Resolver, um aktualisierte Speicherorte der Nutzlast oder C2-Adressen abzurufen. Microsoft verweist dabei auf die als „EtherHiding“ bekannte Technik.

Die zweite besonders häufig beobachtete Angriffskette nutzt ebenfalls ClickFix, diesmal jedoch zum Start von MSHTA. Das Werkzeug lädt schädliche Inhalte von einem Server des Angreifers nach und führt einen verschleierten PowerShell-Downloader aus. Anschließend extrahiert die Malware laut Microsoft eine verschlüsselte Nutzlast, die in einem öffentlich gehosteten steganografischen JPEG-Bild versteckt ist, und führt sie direkt im Speicher aus.

Trotz der unterschiedlichen Abläufe bleibt das Ziel beider Kampagnen identisch. Microsoft zufolge werden sämtliche gesammelten Daten archiviert, um sie anschließend an den Angreifer zu exfiltrieren. Das Unternehmen schreibt: „Diese beiden Kampagnen gehören zu den am häufigsten von Defender Experts beobachteten Zustellungskampagnen für ACR Stealer; sie stellen jedoch nicht die gesamte Bandbreite der von dieser Malware-Familie verwendeten Zustellmethoden dar.“ Zusätzliche Ausführungsketten seien sehr wahrscheinlich.

Als generelle Abwehrmaßnahme gegen ClickFix-Angriffe rät Microsoft davon ab, Anweisungen in Befehlsinterpreter zu kopieren und auszuführen, insbesondere wenn diese angeblich einen Fehler beheben oder bestätigen sollen, dass ein Nutzer ein Mensch ist. Unternehmen sollten laut Microsoft ihre Angriffsfläche für webbasierte Zustellungsketten durch Filter verringern, Domains mit geringer Reputation oder neu registrierte Domains blockieren und den Zugriff auf Online-Ressourcen beschränken, die für den Geschäftsbetrieb nicht erforderlich sind.

Zudem empfiehlt Microsoft Regeln zur Anwendungskontrolle, um das Starten von Inhalten aus entfernten Quellen über Werkzeuge wie PowerShell, Python, mshta.exe oder rundll32.exe einzuschränken, insbesondere aus von Nutzern beschreibbaren Pfaden. Der Bericht des Unternehmens enthält darüber hinaus eine umfangreichere Liste empfohlener Gegenmaßnahmen sowie spezifische Kompromittierungsindikatoren für die beobachtete ACR-Stealer-Aktivität.