En el panorama actual de la ciberseguridad, la actividad maliciosa no cesa de evolucionar, y las campañas de robo de información se han convertido en una amenaza constante para empresas de todos los tamaños. Recientemente, se ha detectado un incremento significativo en la actividad del stealer conocido como ACR Stealer, un malware que ha sido observado en dos campañas de intrusión claramente diferenciadas pero igualmente peligrosas. Este artículo analiza en profundidad ambas campañas, sus vectores de ataque, las técnicas de evasión empleadas y, lo más importante, cómo las organizaciones pueden protegerse ante esta creciente amenaza. En un entorno donde la transformación digital avanza rápidamente, contar con servicios de ciberseguridad especializados ya no es una opción, sino una necesidad.
La primera campaña se caracteriza por el uso de WebDAV como vector inicial, combinado con la técnica de ingeniería social ClickFix. Los atacantes engañan a los usuarios para que ejecuten comandos que, a través de cmd.exe y rundll32.exe, cargan un DLL desde un recurso remoto alojado en WebDAV. Este enfoque permite a los adversarios entregar payloads directamente desde servidores controlados, eludiendo las defensas perimetrales tradicionales. Una vez que el DLL es ejecutado, se despliega una cadena de infección que incluye scripts de PowerShell altamente ofuscados, cargadores escritos en Python y, en algunos casos, un mecanismo de resolución de C2 basado en la tecnología blockchain, conocido como EtherHiding. Esta técnica utiliza servicios RPC de blockchain pública para recuperar direcciones de servidores de comando y control, lo que dificulta enormemente la detección y el bloqueo de la infraestructura maliciosa. La persistencia se logra mediante tareas programadas ocultas que se disfrazan de actualizaciones legítimas de software, y los atacantes emplean timestomping y borrado del historial de PowerShell para eliminar huellas forenses. El robo de credenciales se centra en navegadores basados en Chromium, utilizando las APIs DPAPI de Windows para descifrar contraseñas, cookies y tokens de autenticación almacenados localmente.
La segunda campaña, en contraste, apuesta por un enfoque casi completamente fileless. El punto de partida es también un ClickFix, pero en lugar de WebDAV, se emplea mshta.exe para ejecutar contenido HTA remoto. El VBScript incrustado utiliza objetos COM para decodificar y ejecutar PowerShell en memoria, evitando escribir archivos en disco. La característica más llamativa de esta campaña es el uso de esteganografía para ocultar el payload final dentro de imágenes JPEG alojadas en servicios públicos de imágenes. El script de PowerShell extrae los datos incrustados de los píxeles de la imagen, los descifra y los ejecuta directamente en memoria mediante resolución dinámica de APIs como VirtualAlloc y CreateThread. De esta forma, se minimizan los artefactos en disco y se complica el análisis forense. Al igual que en la primera campaña, el objetivo final es el robo de credenciales de navegadores y la recolección de documentos sensibles, especialmente PDFs y archivos de Office, para su posterior exfiltración. La combinación de esteganografía y ejecución en memoria representa un salto cualitativo en la sofisticación de los stealers actuales.
Ambas campañas comparten un mismo objetivo: obtener credenciales almacenadas en navegadores, tokens de sesión y documentos corporativos que permitan acceder a recursos cloud, aplicaciones empresariales y sistemas internos. La exposición de estos datos puede derivar en compromiso de cuentas, accesos no autorizados a servicios como Microsoft 365 o SharePoint, y movimientos laterales dentro de la red. Para las empresas, esto supone un riesgo crítico que puede traducirse en pérdidas económicas, daño reputacional y filtraciones de datos sensibles. La detección temprana de estas cadenas de ataque requiere una monitorización exhaustiva de comportamientos anómalos, como la ejecución de PowerShell ofuscado, el uso de herramientas living-off-the-land (LOLBins) como mshta o rundll32, y el acceso inusual a archivos de bases de datos de navegadores.
Desde una perspectiva de protección, las organizaciones deben adoptar un enfoque multicapa. La educación de los usuarios es fundamental para que reconozcan las tácticas de ingeniería social como los prompts de ClickFix, que a menudo se presentan como verificaciones falsas de CAPTCHA o actualizaciones urgentes. Además, es crucial restringir el uso de herramientas como PowerShell, Python o mshta en entornos de usuario final, permitiendo su ejecución solo cuando sea estrictamente necesario y bajo políticas de aplicación controlada. Las reglas de reducción de superficie de ataque (ASR) y el control de aplicaciones pueden bloquear la ejecución de scripts descargados desde internet o desde directorios de usuario como Temp o Downloads. La monitorización de la creación de tareas programadas sospechosas, el timestomping y el borrado de historial son indicadores que no deben pasarse por alto.
La inteligencia artificial aplicada a la cibersguridad juega un papel cada vez más relevante en la detección de estas amenazas. Soluciones basadas en IA para empresas pueden analizar patrones de comportamiento en tiempo real, identificar desviaciones respecto a la línea base y generar alertas tempranas ante cadenas de ataque que combinan múltiples técnicas. Por ejemplo, un endpoint que ejecuta PowerShell tras descargar una imagen JPEG desde un hosting público, seguido de llamadas a VirtualAlloc, puede ser señalado automáticamente como sospechoso. La integración de agentes IA en los sistemas de detección y respuesta (EDR) permite automatizar la investigación y contención de incidentes, reduciendo el tiempo de respuesta y minimizando el impacto.
Desde el punto de vista de la infraestructura, las empresas que utilizan servicios cloud como AWS o Azure deben extremar las precauciones. Los atacantes pueden aprovechar credenciales robadas para acceder a consolas de administración, buckets de almacenamiento o bases de datos alojadas en la nube. Implementar servicios cloud AWS y Azure de forma segura, con políticas de acceso condicional, autenticación multifactor y revisión periódica de roles y permisos, es esencial para evitar fugas de información. Asimismo, las herramientas de inteligencia de negocio como Power BI pueden utilizarse para centralizar y visualizar logs de seguridad, facilitando la identificación de patrones anómalos por parte de los equipos de ciberseguridad.
Otro aspecto clave es la gestión de credenciales. Reducir la dependencia de contraseñas almacenadas en navegadores, implementar gestores de contraseñas corporativos y fomentar el uso de inicio de sesión único (SSO) con autenticación multifactor son medidas que dificultan el éxito de este tipo de stealers. Además, la monitorización de actividad DPAPI sospechosa puede alertar sobre intentos de descifrado de credenciales. Las herramientas de servicios inteligencia de negocio pueden ayudar a correlacionar eventos de seguridad con otras fuentes de datos, proporcionando una visión holística del riesgo.
Para las empresas que buscan fortalecer su postura de seguridad, el desarrollo de aplicaciones a medida puede ser una solución efectiva. En lugar de depender de software comercial que puede contener vulnerabilidades o configuraciones inseguras, las aplicaciones desarrolladas específicamente para las necesidades del negocio permiten integrar controles de seguridad desde el diseño. Las aplicaciones a medida desarrolladas por equipos especializados pueden incluir mecanismos de cifrado, autenticación robusta y registro de auditoría, reduciendo la superficie de ataque. Del mismo modo, la automatización de procesos, cuando se implementa correctamente, puede eliminar tareas manuales propensas a errores y asegurar que las políticas de seguridad se apliquen de manera consistente.
En conclusión, las campañas de ACR Stealer representan una evolución en las tácticas de robo de información, combinando ingeniería social, técnicas de evasión avanzadas y uso de infraestructura descentralizada. Las organizaciones no pueden permitirse una actitud reactiva; deben adoptar un enfoque proactivo que incluya formación continua, hardening de endpoints, monitorización basada en comportamiento y la colaboración con expertos en ciberseguridad. Q2BSTUDIO, como empresa de desarrollo de software y tecnología, ofrece experiencia en la implementación de soluciones de seguridad personalizadas, integración de inteligencia artificial para la detección de amenazas y servicios cloud gestionados. Proteger los activos digitales es una carrera constante contra adversarios cada vez más sofisticados, pero con las herramientas y el conocimiento adecuados, es posible mantener una ventaja defensiva.


.jpg)
.jpg)
.jpg)
.jpg)