Microsoft повідомила про зростання активності ACR Stealer від кінця квітня до середини червня 2026 року. У розслідуваних інцидентах часто траплялися дві кампанії ClickFix. Обидві переконували користувача Windows запустити команду з фальшивої сторінки перевірки. Перша ланка використовувала WebDAV, rundll32.exe, PowerShell і Python-завантажувач; друга — mshta.exe, заплутаний PowerShell і код, прихований усередині зображення. В обох випадках метою були паролі браузера, cookie, токени автентифікації та документи.
Важлива межа — саме запуск команди. Якщо ви лише побачили сторінку й закрили її, це ще не доводить зараження. Але якщо ви вставили або виконали запропоновану команду, вважайте пристрій і браузерні сесії потенційно скомпрометованими, навіть коли вікно інсталятора не з’явилося.
Кому потрібно перевірити систему
Дійте негайно, якщо сторінка нібито для підтвердження, що ви не робот, виправлення помилки браузера чи відкриття контенту просила натиснути Win+R, вставити команду, відкрити термінал або запустити PowerShell. Це також стосується випадків, коли ненадовго з’явилася консоль, запустився rundll32.exe чи mshta.exe, а після виконання команда начебто нічого не зробила.
Схожі сценарії та наслідки ClickFix описані в нашому матеріалі про Potemkin Loader і фальшиву перевірку. Для ACR Stealer Microsoft додала конкретні ознаки WebDAV, прихованих завдань і викрадення сесій браузера.
Чим відрізняються дві ланки ACR Stealer
| Ланка атаки | Ознаки та практичне значення |
|---|---|
| WebDAV і Python-завантажувач | Команда ClickFix може викликати rundll32.exe для файлу на віддаленому ресурсі WebDAV. Варіанти з pushd тимчасово підключають ресурс як диск. Наступні етапи використовують PowerShell, pythonw.exe і приховане завдання планувальника. |
| MSHTA і стеганографія | mshta.exe отримує віддалений HTA-вміст і запускає заплутаний PowerShell. Наступний скрипт витягує зашифрований код із пікселів зображення та виконує його в пам’яті. |
| Спільна мета | Обидві ланки звертаються до сховищ облікових даних Chromium і Windows DPAPI, а потім збирають паролі, cookie, токени, PDF, документи Microsoft 365 та файли із синхронізованих папок. |
WebDAV-ланка може розгорнути файли в оманливій папці на кшталт %LocalAppData%\. Microsoft також бачила приховані завдання, замасковані під оновлення програм, копіювання часових міток із довірених файлів Windows та очищення історії PowerShell. Друга ланка більше покладається на виконання в пам’яті, тому відсутність помітного EXE-файлу не означає, що система чиста.
Що перевірити після запуску команди ClickFix
- Від’єднайте ПК від мережі. Не входьте з нього до інших облікових записів. Якщо це робочий пристрій, зверніться до служби безпеки до видалення доказів.
- Збережіть команду, яку ви запустили. Сфотографуйте сторінку або зробіть знімок екрана, але не виконуйте команду повторно. Історія Run у
HKCU\може допомогти знайти слідиSoftware\ Microsoft\ Windows\ CurrentVersion\ Explorer\ RunMRU rundll32,pushd, WebDAV@ssl,conhost --headlessабоmshta. - Перегляньте нові завдання планувальника й папки користувача. Перевіряйте завдання з назвами оновлень, дія яких запускає PowerShell або
pythonw.exe, особливоAutoupdateіз цифрами. Не видаляйте завдання лише через незнайому назву: перевірте дію, шлях, час створення та цифровий підпис файлу. - Запустіть повне сканування. ACR Stealer може поєднувати видимий завантажувач із закріпленням через планувальник і етапами в пам’яті. Gridinsoft Anti-Malware допоможе перевірити завантажувачі, приховані файли, автозапуск, завдання планувальника та пов’язані залишки. Після очищення перезавантажте ПК і повторіть перевірку, якщо попередження чи дивні процеси повертаються.
- З чистого пристрою змініть паролі та завершіть сесії. Почніть з основної пошти, менеджера паролів, робочого профілю, банківських, криптовалютних і соціальних облікових записів. Зміна пароля не завжди анулює всі викрадені cookie або токени, тому використовуйте функцію виходу з усіх сесій чи видалення пристроїв.
- Перевірте хмарну й браузерну активність. Перегляньте правила пересилання, способи відновлення, підключені застосунки, останні входи, завантаження та попередження безпеки. Не входьте до синхронізації браузера на очищеному ПК, доки не зміните облікові дані.
Захисний інструмент може видалити знайдене шкідливе ПЗ і закріплення, але не здатен знову зробити викрадений пароль або токен секретним. Якщо захоплення облікових записів триває, на ПК були дуже чутливі дані або виконання в пам’яті неможливо чітко оцінити, збережіть потрібні фахівцю докази та розгляньте чисте перевстановлення Windows.
Чого не варто припускати
- Відсутність видимого завантаження не означає, що нічого не виконалось. WebDAV і PowerShell у пам’яті можуть отримувати наступні етапи без звичного інсталятора.
- MFA не завжди скасовує викрадені сесії. Дійсний cookie або токен іноді працює до явного відкликання чи завершення строку дії.
- Одне чисте сканування не доводить, що дані не викрадені. Відновлення паролів і сесій — окреме завдання від видалення шкідливого ПЗ.
Ще один практичний приклад ClickFix із PowerShell та викрадачем даних є в матеріалі про Vidar Stealer у фальшивих TikTok-інструкціях.
Джерела
- Microsoft Security Research і Balaji Venkatesh S. «ACR Stealer: Two observed intrusion chains amid increased threat activity». Microsoft Security Blog, 16 липня 2026 року, дата доступу 17 липня 2026 року. дослідницький звіт Microsoft Security.
