Novo vetor de ataque evolui capacidades de exfiltração
Uma nova variante do malware ACRStealer foi identificada por analistas de segurança, apresentando capacidades aprimoradas que dificultam a detecção e aumentam o perigo aos sistemas alvo. Reportado pela primeira vez pela Proofpoint no início de 2025 como uma versão rebranding do Amatera Stealer, esta iteração mais recente introduz evasão de syscall de baixo nível, comunicação C2 criptografada via TLS e a capacidade de entregar payloads secundários.
ACRStealer é comercializado como Malware-as-a-Service (MaaS), sendo alugado para múltiplos atores de ameaças. Nesta operação mais recente, ele chega como um payload final entregue através do HijackLoader, um carregador sofisticado ligado à plataforma de distribuição PiviGames.
Descoberta e escopo
Analistas da G Data identificaram esta variante atualizada durante uma investigação de acompanhamento sobre a atividade do HijackLoader. Diferente das iterações anteriores que dependiam de um Dead Drop Resolver (DDR) para esconder endereços de servidores C2, esta amostra se conecta à sua infraestrutura de comando usando interfaces nativas do kernel do Windows e canais criptografados, removendo um ponto de detecção que muitas ferramentas de segurança dependiam.
A análise confirmou infecções ativas nos Estados Unidos, Mongólia e Alemanha, com todas as amostras se comunicando de volta para o endereço C2 157.180.40.106.
Vetor e exploração
O ataque começa quando usuários em plataformas de jogos como Steam, Discord ou Reddit são enganados para visitar um link malicioso, que os leva através de uma cadeia de redirecionamento antes de soltar um arquivo ZIP contendo o malware, disfarçado como um instalador de software legítimo.
O alcance da exfiltração de dados desta variante é amplo. Ele visa credenciais de navegador, cookies de sessão e dados de login de vários navegadores, e vai além, atacando credenciais de contas de jogos Steam — um alvo de exfiltração não observado anteriormente em campanhas do ACRStealer.
Impacto e alcance
O malware também realiza a impressão digital completa do sistema, capturando GUID da máquina, nome de usuário, arquitetura, localidade e tempo de compilação, comprimindo tudo em um arquivo ZIP na memória com limite de 40MB antes da transmissão final.
A mesma infraestrutura de entrega também foi observada empurrando o LummaStealer no início de 2026, com a cadeia PiviGames redirecionando agora para um download na nuvem Mega contendo um único executável chamado Setup.exe. Essa rotação confirma que o grupo de ameaças está trocando ativamente seu payload final sem reconstruir sua cadeia de distribuição.
Recomendações de segurança
As equipes de segurança são aconselhadas a monitorar o uso incomum de APIs de baixo nível, incluindo NtCreateFile e conexões de rede baseadas em AFD, bloquear os indicadores C2 conhecidos e habilitar a detecção comportamental para hollowing de processo via rundll32.exe.