ACR Stealer через ClickFix: що перевірити після запуску команди

Microsoft відстежила ланки ACR Stealer через ClickFix із WebDAV, MSHTA та PowerShell. Перевірте завдання, браузерні сесії, паролі й наслідки запуску команди.

Атака ACR Stealer через ClickFix викрадає паролі браузера та токени сесій із Windows.

Microsoft повідомила про зростання активності ACR Stealer від кінця квітня до середини червня 2026 року. У розслідуваних інцидентах часто траплялися дві кампанії ClickFix. Обидві переконували користувача Windows запустити команду з фальшивої сторінки перевірки. Перша ланка використовувала WebDAV, rundll32.exe, PowerShell і Python-завантажувач; друга — mshta.exe, заплутаний PowerShell і код, прихований усередині зображення. В обох випадках метою були паролі браузера, cookie, токени автентифікації та документи.

Важлива межа — саме запуск команди. Якщо ви лише побачили сторінку й закрили її, це ще не доводить зараження. Але якщо ви вставили або виконали запропоновану команду, вважайте пристрій і браузерні сесії потенційно скомпрометованими, навіть коли вікно інсталятора не з’явилося.

Кому потрібно перевірити систему

Дійте негайно, якщо сторінка нібито для підтвердження, що ви не робот, виправлення помилки браузера чи відкриття контенту просила натиснути Win+R, вставити команду, відкрити термінал або запустити PowerShell. Це також стосується випадків, коли ненадовго з’явилася консоль, запустився rundll32.exe чи mshta.exe, а після виконання команда начебто нічого не зробила.

Схожі сценарії та наслідки ClickFix описані в нашому матеріалі про Potemkin Loader і фальшиву перевірку. Для ACR Stealer Microsoft додала конкретні ознаки WebDAV, прихованих завдань і викрадення сесій браузера.

Чим відрізняються дві ланки ACR Stealer

Ланка атакиОзнаки та практичне значення
WebDAV і Python-завантажувачКоманда ClickFix може викликати rundll32.exe для файлу на віддаленому ресурсі WebDAV. Варіанти з pushd тимчасово підключають ресурс як диск. Наступні етапи використовують PowerShell, pythonw.exe і приховане завдання планувальника.
MSHTA і стеганографіяmshta.exe отримує віддалений HTA-вміст і запускає заплутаний PowerShell. Наступний скрипт витягує зашифрований код із пікселів зображення та виконує його в пам’яті.
Спільна метаОбидві ланки звертаються до сховищ облікових даних Chromium і Windows DPAPI, а потім збирають паролі, cookie, токени, PDF, документи Microsoft 365 та файли із синхронізованих папок.

WebDAV-ланка може розгорнути файли в оманливій папці на кшталт %LocalAppData%\Temp\LogiOptionsPlus. Microsoft також бачила приховані завдання, замасковані під оновлення програм, копіювання часових міток із довірених файлів Windows та очищення історії PowerShell. Друга ланка більше покладається на виконання в пам’яті, тому відсутність помітного EXE-файлу не означає, що система чиста.

Що перевірити після запуску команди ClickFix

  1. Від’єднайте ПК від мережі. Не входьте з нього до інших облікових записів. Якщо це робочий пристрій, зверніться до служби безпеки до видалення доказів.
  2. Збережіть команду, яку ви запустили. Сфотографуйте сторінку або зробіть знімок екрана, але не виконуйте команду повторно. Історія Run у HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU може допомогти знайти сліди rundll32, pushd, WebDAV @ssl, conhost --headless або mshta.
  3. Перегляньте нові завдання планувальника й папки користувача. Перевіряйте завдання з назвами оновлень, дія яких запускає PowerShell або pythonw.exe, особливо Autoupdate із цифрами. Не видаляйте завдання лише через незнайому назву: перевірте дію, шлях, час створення та цифровий підпис файлу.
  4. Запустіть повне сканування. ACR Stealer може поєднувати видимий завантажувач із закріпленням через планувальник і етапами в пам’яті. Gridinsoft Anti-Malware допоможе перевірити завантажувачі, приховані файли, автозапуск, завдання планувальника та пов’язані залишки. Після очищення перезавантажте ПК і повторіть перевірку, якщо попередження чи дивні процеси повертаються.
  5. З чистого пристрою змініть паролі та завершіть сесії. Почніть з основної пошти, менеджера паролів, робочого профілю, банківських, криптовалютних і соціальних облікових записів. Зміна пароля не завжди анулює всі викрадені cookie або токени, тому використовуйте функцію виходу з усіх сесій чи видалення пристроїв.
  6. Перевірте хмарну й браузерну активність. Перегляньте правила пересилання, способи відновлення, підключені застосунки, останні входи, завантаження та попередження безпеки. Не входьте до синхронізації браузера на очищеному ПК, доки не зміните облікові дані.

Захисний інструмент може видалити знайдене шкідливе ПЗ і закріплення, але не здатен знову зробити викрадений пароль або токен секретним. Якщо захоплення облікових записів триває, на ПК були дуже чутливі дані або виконання в пам’яті неможливо чітко оцінити, збережіть потрібні фахівцю докази та розгляньте чисте перевстановлення Windows.

Чого не варто припускати

  • Відсутність видимого завантаження не означає, що нічого не виконалось. WebDAV і PowerShell у пам’яті можуть отримувати наступні етапи без звичного інсталятора.
  • MFA не завжди скасовує викрадені сесії. Дійсний cookie або токен іноді працює до явного відкликання чи завершення строку дії.
  • Одне чисте сканування не доводить, що дані не викрадені. Відновлення паролів і сесій — окреме завдання від видалення шкідливого ПЗ.

Ще один практичний приклад ClickFix із PowerShell та викрадачем даних є в матеріалі про Vidar Stealer у фальшивих TikTok-інструкціях.

Джерела

  1. Microsoft Security Research і Balaji Venkatesh S. «ACR Stealer: Two observed intrusion chains amid increased threat activity». Microsoft Security Blog, 16 липня 2026 року, дата доступу 17 липня 2026 року. дослідницький звіт Microsoft Security.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.