ACR Stealer і ClickFix: що робити, якщо ви вже виконали команду

Microsoft зафіксувала нові кампанії ACR Stealer через фальшиві перевірки ClickFix. Пояснюємо, що краде шкідник і як діяти після запуску команди.

Фальшиве вікно перевірки ClickFix перед ноутбуком із попередженням про викрадення паролів, cookies і документів.

Звичайна CAPTCHA просить поставити позначку, вибрати зображення або ввести короткий код. Якщо ж «перевірка» наказує відкрити вікно запуску Windows, термінал чи PowerShell, вставити текст із буфера обміну й натиснути Enter — це не технічна необхідність сайту. Саме так працює ClickFix: людина власноруч запускає команду зловмисника, вважаючи її частиною перевірки.

16 липня 2026 року Microsoft Security Research опублікувала аналіз двох активних ланцюжків зараження ACR Stealer. Дослідники спостерігали підвищену активність від кінця квітня до середини червня. В обох випадках усе починалося з ClickFix, а кінцевою метою були паролі, cookies, токени автентифікації та документи. Для домашнього користувача це ризик втрати особистих облікових записів; для компанії — ще й можливий доступ до хмарних ресурсів та наступний етап атаки.

Що таке ACR Stealer

ACR Stealer — шкідлива програма для викрадення інформації. За даними Microsoft, її пов’язують із ребрендингом Amatera Stealer та поширюють за моделлю malware-as-a-service: розробники надають інструмент іншим злочинцям. Тому конкретні приманки й технічні деталі можуть змінюватися, хоча ціль залишається тією самою.

У першій дослідженій кампанії команда з ClickFix зверталася до віддаленого ресурсу через WebDAV і запускала системний компонент Windows. Далі з’являлися заплутаний PowerShell-код, вбудований Python-завантажувач і приховане завдання в планувальнику, замасковане під оновлення програми. Частина варіантів використовувала публічний блокчейн як «довідник» для адреси наступного сервера. Це дозволяло операторам змінювати інфраструктуру, не перепаковуючи сам шкідник.

Другий ланцюжок був ще менш помітним: він зловживав MSHTA і PowerShell, завантажував начебто звичайне JPEG-зображення, а зашифроване шкідливе навантаження ховалося в його пікселях. Код виконувався переважно в пам’яті, тому пошук лише підозрілих файлів на диску міг нічого не показати. Microsoft наголошує, що це два поширені приклади, а не повний перелік способів доставки ACR Stealer.

Що може опинитися у зловмисника

ACR Stealer звертається до сховищ Chromium-браузерів, зокрема Chrome та Edge, і намагається отримати збережені паролі, cookies та токени входу. Також дослідники бачили пошук PDF-файлів, документів Microsoft 365 і даних у синхронізованих папках OneDrive та SharePoint. Зібрані матеріали архівувалися перед імовірним відправленням зловмисникам.

Особливо небезпечні викрадені сесійні cookies і токени. Зміна пароля необхідна, але вона не завжди миттєво завершує вже видану сесію в кожному сервісі. Саме тому Microsoft окремо радить не тільки змінювати скомпрометовані облікові дані, а й відкликати потенційно викрадені токени та перевіряти активні сеанси.

Схема атаки ClickFix: фальшива перевірка, запуск команди та спроба викрасти дані браузера й документи.
Якщо команда вже виконана, ізолюйте пристрій і відновлюйте облікові записи з чистого комп’ютера.

Що робити, якщо команду вже виконано

  1. Негайно ізолюйте комп’ютер. Вимкніть Wi‑Fi та від’єднайте мережевий кабель. Не використовуйте цей пристрій для зміни паролів: якщо викрадач іще активний, нові дані також можуть бути перехоплені. Корпоративний ноутбук не очищайте самостійно — одразу повідомте ІТ-відділ або фахівця з безпеки.
  2. Зафіксуйте контекст. Запишіть приблизний час, адресу сторінки, що саме вона просила зробити, і які вікна відкривалися. Якщо це можна зробити без повторного переходу на небезпечний сайт, збережіть фото екрана на телефон. Не запускайте команду вдруге й не надсилайте її колегам «для перевірки».
  3. З чистого пристрою захистіть облікові записи. Почніть з основної пошти, менеджера паролів, робочого Microsoft 365 або Google Workspace, хмарних сховищ і фінансових сервісів. Створіть унікальні паролі, завершіть активні сеанси та відкличте токени там, де така функція є. Для Microsoft Entra адміністратор може заблокувати нові входи й скористатися дією Revoke sessions; окремі застосунки можуть мати власні сесії, які треба завершувати у них.
  4. Увімкніть багатофакторну автентифікацію та перевірте способи відновлення. Переконайтеся, що резервна пошта, номер телефону, ключі доступу й правила пересилання пошти не були змінені. MFA суттєво ускладнює повторний вхід, але не слід вважати її заміною відкликанню вже викрадених сесій.
  5. Проведіть перевірку пристрою. Для організації це завдання EDR/Defender та ІТ-фахівців: вони мають перевірити PowerShell, MSHTA, WebDAV-з’єднання, приховані завдання планувальника, підозрілі каталоги в Temp і LocalAppData, доступ до браузерних баз та вихідні з’єднання. Домашньому користувачеві варто оновити Windows Security, виконати повне сканування та, за потреби, перевірку Microsoft Defender Offline. Один «чистий» швидкий скан не доводить відсутність зараження, бо частина ланцюжка працює в пам’яті.
  6. Стежте за наслідками. Перегляньте історію входів, нові пристрої, листи про скидання пароля, правила пошти, активність у хмарних дисках і банківські сповіщення. Якщо неможливо впевнено видалити механізм закріплення, погодьте з фахівцем відновлення системи з відомо чистого образу.

Якщо ви лише скопіювали текст, але не вставили й не запустили його, саме копіювання зазвичай не виконує код. Закрийте сторінку, очистьте буфер обміну та все одно перевірте, чи не було інших завантажень або дозволів. Якщо ж після вставлення натиснули Enter, поводьтеся з пристроєм як із потенційно скомпрометованим, навіть коли на екрані «нічого не сталося».

Як розпізнати ClickFix наступного разу

  • Сайт називає командний рядок або PowerShell частиною CAPTCHA чи «виправленням браузера».
  • Інструкція просить вставити команду, яку ви не можете прочитати або пояснити.
  • Сторінка створює терміновість: без дії нібито не відкриється файл, відео чи результат пошуку.
  • Підказка з’явилася після рекламного посилання або на сайті, знайденому через пошук, хоча домен виглядає незнайомим.

ClickFix доповнює інші сучасні схеми соціальної інженерії. У матеріалі RozumTech про AI-фішинг і клонування голосу є універсальна процедура перевірки підозрілих повідомлень і дзвінків.

Для невеликої команди корисні прості правила: жоден легітимний сайт не повинен вимагати запуску локальної команди; робочі паролі краще зберігати в керованому менеджері, а не покладатися лише на браузер; MFA має бути обов’язковою; звичайні користувачі не повинні постійно працювати з правами адміністратора. У корпоративному середовищі Microsoft також радить вебфільтрацію, правила зменшення поверхні атаки, контроль запуску PowerShell, Python, MSHTA і Rundll32 та моніторинг підозрілих завдань планувальника.

Висновок

Сила ClickFix не в новому вразливому місці Windows, а в переконливій інструкції. Якщо «перевірка» просить виконати команду, зупиніться. А якщо команда вже запущена, не обмежуйтеся зміною одного пароля: ізолюйте пристрій, відкличте сесії й токени, перевірте механізми закріплення та дійте з чистого пристрою.

Обговорення

Долучайтеся до розмови

Пишіть по суті й поважайте інших читачів. Перший коментар може з’явитися після перевірки редакцією.

Залишити коментар

Ваш email не публікується. Поля зі зірочкою обов’язкові.

Надсилаючи коментар, ви погоджуєтеся на його перевірку та зберігання введених даних відповідно до політики конфіденційності.