ACR Stealer Gunakan ClickFix untuk Curi Token Browser dan File Microsoft 365

Jul 17, 2026 - 16:40
 0  1
ACR Stealer Gunakan ClickFix untuk Curi Token Browser dan File Microsoft 365

ACR Stealer, sebuah malware infostealer yang telah beredar sejak 2024, kini menjadi ancaman serius bagi jaringan perusahaan dengan mencuri password browser yang tersimpan, token sesi aktif, file PDF, dokumen Microsoft 365, dan berkas yang tersinkronisasi dari OneDrive serta SharePoint.

Ad
Ad

Malware ini masuk ke sistem korban melalui sebuah perintah yang ditempel (paste) dan dijalankan di kotak Run (Jalankan). Pada Kamis lalu, Microsoft mengungkap dua rantai serangan yang digunakan oleh ACR Stealer. Tim Defender Experts, bagian managed detection Microsoft, mencatat lonjakan aktivitas ACR Stealer pada lingkungan pelanggan dari akhir April hingga pertengahan Juni, dan menyatakan bahwa kampanye ini "berhasil menggunakan umpan ClickFix untuk mencuri kredensial browser, token autentikasi, dan dokumen sensitif".

Teknik Steganografi dan Eksekusi Fileless

Kedua rantai serangan diawali dengan perintah yang sama, kemudian bercabang: satu meninggalkan jejak di disk, sedangkan yang lain hampir sepenuhnya berjalan di memori. Microsoft menganjurkan agar korban tidak hanya mengganti password, tapi juga mencabut token akses yang telah dicuri.

Rantai fileless dimulai saat perintah yang ditempel memanggil mshta.exe untuk mengambil konten HTA dari jarak jauh. Sebuah VBScript yang tertanam menggunakan objek COM untuk mendekode dan menjalankan PowerShell secara langsung di memori. Pada tahap ini, malware membuat ID korban, menonaktifkan validasi sertifikat, dan menjalankan payload yang diambil langsung dari memori.

Payload itu sendiri tersembunyi dalam gambar JPEG yang dihosting di situs penyimpanan gambar. Dengan teknik khusus, malware mengekstrak, mendekripsi, dan mendekompresi payload dari piksel gambar tersebut, kemudian mengeksekusinya secara reflektif di memori. Target utama adalah browser Chrome dan Edge, dengan membaca database Login Data dan Web Data, serta menggunakan DPAPI untuk mendekripsi password, cookie, dan token yang tersimpan. File PDF di Desktop dan folder Downloads juga ikut dicuri.

Salah satu contoh infeksi yang tercatat oleh SANS Internet Storm Center berasal dari halaman web palsu yang meniru asisten AI Claude milik Anthropic, yang disebarkan melalui iklan Google berbahaya dan tersembunyi di balik domain sites.google.com. Halaman ini menampilkan instruksi berbeda berdasarkan sistem operasi korban (macOS atau Windows).

Rantai Kedua dengan Jejak di Disk

Rantai serangan kedua menggunakan metode yang menulis file ke disk, sehingga meninggalkan jejak yang lebih mudah dideteksi. Perintah yang ditempel akan memuat DLL dari share WebDAV melalui HTTPS, menggunakan direktori GUID dan nama file yang disamarkan, misalnya google.ct. Dua dari tiga varian yang diamati menggunakan perintah pushd untuk memasang share remote sebagai drive lokal sementara, sehingga malware berjalan dari path lokal.

Untuk menyembunyikan aktivitasnya, malware menjalankan proses conhost.exe --headless agar jendela konsol tidak muncul, dan menyembunyikan string perintah kritikal menggunakan ekspansi variabel lingkungan tertunda. Selanjutnya, PowerShell yang telah diobfuskasi dijalankan untuk mengekstrak file ZIP ke folder %LocalAppData%\Temp dengan nama yang terlihat tidak mencurigakan, seperti LogiOptionsPlus. Python interpreter pythonw.exe yang dibundel digunakan untuk menjalankan skrip Python tanpa menampilkan jendela.

Malware ini juga memiliki mekanisme pembaruan otomatis dengan menghapus versi lama sebelum menginstal versi baru. Ia bertahan dengan membuat tugas terjadwal tersembunyi yang menyamar sebagai update perangkat lunak, menyalin timestamp file notepad.exe ke file miliknya (timestomping), dan membersihkan riwayat PowerShell.

Dalam beberapa kasus, sebuah loader Python kedua berkomunikasi dengan endpoint blockchain publik dan infrastruktur node Web3, kemungkinan untuk mengambil payload tambahan atau alamat Command and Control (C2) dari buku besar publik. Teknik ini disebut EtherHiding oleh Microsoft, yang menempatkan pointer di kontrak pintar sehingga tidak ada resolver yang dapat dikuasai penyerang.

Tidak Ada Eksploitasi Kerentanan – Semua Berbasis Sosial Engineering

Menariknya, tidak ada kerentanan yang dieksploitasi oleh kedua rantai ini. ACR Stealer hanya mengambil alih hak akses yang sudah dimiliki oleh pengguna yang masuk (logged-in user). Seluruh proses hanya berjalan karena ada pengguna yang menempel dan menjalankan perintah secara manual. Dengan kata lain, ini bukan masalah teknis yang bisa diatasi dengan patch keamanan, melainkan masalah kesadaran pengguna dan kontrol akses yang lemah.

Microsoft tidak memberikan data jumlah korban atau tingkat keberhasilan kampanye, namun Red Canary mencatat bahwa ClearFake, sebuah kelompok penyuntik JavaScript yang telah memasok ACR Stealer sejak Maret 2025, menjadi ancaman paling umum berdasarkan telemetri April 2026. ACR Stealer sendiri berada di peringkat keenam ancaman terbanyak pada saat itu.

Asal Usul dan Evolusi ACR Stealer

ACR Stealer, yang juga dikenal dengan nama AcridRain, awalnya dipasarkan di forum berbahasa Rusia oleh aktor bernama SheldIO, yang menghentikan penjualan pada Juli 2024. Ada perbedaan pendapat tentang kelanjutan malware ini, apakah kode sumbernya dijual atau tim pengembangnya melanjutkan dengan nama baru.

Proofpoint melaporkan pada Juni 2025 bahwa ACR Stealer diperbarui dan berganti nama menjadi Amatera Stealer, dengan harga langganan mulai dari $199 per bulan hingga $1.499 per tahun. Red Canary menganggap ACR dan Amatera sebagai satu keluarga malware yang sama, dengan ACR sebagai versi terbaru dari GrMsk Stealer.

Cara Menghentikan Serangan ACR Stealer

Menurut eSentire, salah satu cara paling efektif untuk memutus rantai infeksi adalah menghilangkan vektor utama: pengguna menempel perintah di kotak Run. Berikut langkah-langkah yang direkomendasikan:

  1. Batasi akses ke kotak Run melalui Group Policy Object (GPO) dan blokir mshta.exe menggunakan AppLocker atau Windows Defender Application Control (WDAC).
  2. Gunakan kontrol aplikasi dan aturan pengurangan permukaan serangan (attack surface reduction) agar PowerShell, Python, mshta.exe, dan rundll32.exe tidak dapat menjalankan konten yang diunduh dari folder Downloads, Temp, atau %LocalAppData%.
  3. Deteksi aktivitas rundll32.exe yang berjalan tanpa parameter command-line tapi melakukan koneksi jaringan, serta pantau tugas terjadwal yang menyamar sebagai update perangkat lunak, timestomping, dan penghapusan riwayat PowerShell.
  4. Jika ada host yang dicurigai terinfeksi, isolasi perangkat tersebut, lakukan rotasi kredensial, cabut token akses, dan periksa koneksi keluar ke share remote dan layanan hosting gambar.

Microsoft juga menyediakan tiga kueri hunting Defender XDR dan membagikan 16 domain kampanye terkait dalam laporannya, meskipun ini hanyalah sebagian dari infrastruktur yang digunakan oleh pelaku.

Analisis Redaksi

Menurut pandangan redaksi, kampanye ACR Stealer ini menunjukkan betapa rentannya sistem perusahaan terhadap teknik serangan berbasis sosial engineering dan manipulasi pengguna, bukan hanya eksploitasi teknis. Penggunaan steganografi di gambar JPEG dan komunikasi dengan blockchain publik adalah inovasi yang memperumit deteksi dan mitigasi. Artinya, organisasi harus memperkuat kebijakan keamanan siber dengan fokus pada edukasi pengguna dan pengaturan kontrol aplikasi yang ketat.

Selain itu, fakta bahwa malware ini berjalan tanpa eksploitasi kerentanan menegaskan pentingnya pengawasan perilaku aplikasi dan penggunaan teknologi XDR (Extended Detection and Response) untuk mendeteksi pola mencurigakan seperti eksekusi perintah tidak wajar dan komunikasi dengan domain berbahaya.

Ke depan, publik dan pelaku industri perlu memperhatikan evolusi malware ini yang kemungkinan akan terus beradaptasi dengan teknik penyamaran baru, termasuk pemanfaatan infrastruktur blockchain dan teknik fileless. Keamanan siber bukan hanya soal patching, tapi juga mengelola risiko manusia dan teknologi secara terpadu.

Untuk update terbaru dan analisis mendalam terkait ancaman siber seperti ACR Stealer, Anda dapat mengikuti berita dari The Hacker News dan sumber resmi Microsoft.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad