البرمجيات الخبيثة AceCryptor

ظهرت العديد من حالات الإصابة الجديدة المرتبطة بأداة AceCryptor، مما يشير إلى اتجاه مثير للقلق. وقد تم استخدام هذه الأداة، التي يفضلها المتسللون لقدرتها على إخفاء البرامج الضارة واختراق الأنظمة دون أن تكتشفها الدفاعات التقليدية لمكافحة البرامج الضارة، في حملة تستهدف المؤسسات في جميع أنحاء أوروبا. لاحظ الباحثون الذين راقبوا أنشطة AceCryptor لسنوات تحولًا مميزًا في هذه الحملة الأخيرة. على عكس الحالات السابقة، قام المهاجمون بتوسيع نطاق التعليمات البرمجية التي تم التلاعب بها والمضمنة ضمن عمليات استغلالهم، مما يشكل تهديدات متزايدة للكيانات المستهدفة.

يتم استخدام AceCryptor لتوصيل التهديدات الضارة في المراحل المتأخرة

عادةً ما يتم إقران AceCryptor ببرامج ضارة مثل Remcos أو Rescoms ، والتي تعمل كأدوات مراقبة عن بعد فعالة يتم استخدامها بشكل متكرر في الهجمات ضد المنظمات في أوكرانيا. إلى جانب Remcos و SmokeLoader الشهير، لاحظ الباحثون الآن أن AceCryptor ينشر سلالات أخرى من البرامج الضارة، بما في ذلك متغيرات STOP/Djvu Ransomware و Vidar Stealer .

علاوة على ذلك، لاحظ الباحثون أنماطًا متميزة في البلدان المستهدفة. وبينما كان SmokeLoader متورطًا في هجمات في أوكرانيا، فقد تميزت الحوادث في بولندا وسلوفاكيا وبلغاريا وصربيا باستخدام Remcos.

وفي حملات منسقة بدقة، تم الاستفادة من AceCryptor لاستهداف دول أوروبية متعددة، بهدف استخراج معلومات حساسة أو إنشاء وصول أولي إلى شركات مختلفة. غالبًا ما يتم توزيع البرامج الضارة في هذه الهجمات من خلال رسائل البريد الإلكتروني العشوائية، والتي كان بعضها مقنعًا بشكل ملحوظ؛ وفي بعض الأحيان، يتم الاستيلاء على حسابات البريد الإلكتروني المشروعة وإساءة استخدامها لإرسال هذه الرسائل المضللة.

الهدف الأساسي من العملية الأخيرة هو الحصول على بيانات اعتماد البريد الإلكتروني والمتصفح المخصصة لمزيد من الهجمات ضد الشركات المستهدفة. والجدير بالذكر أن غالبية حوادث AceCryptor المسجلة كانت بمثابة نقطة التسوية الأولية في هذه الهجمات.

لقد تغيرت أهداف AceCryptor طوال عام 2023

في الأشهر الستة من عام 2023، كانت البلدان التي تأثرت بشكل أساسي بالبرامج الضارة المعبأة بـ AceCryptor هي البيرو والمكسيك ومصر وتركيا، حيث تحملت بيرو وطأة 4700 هجوم. ومع ذلك، وفي تحول ملحوظ خلال النصف الأخير من العام، أعاد المتسللون توجيه تركيزهم نحو الدول الأوروبية، وخاصة بولندا، التي تعرضت لأكثر من 26000 هجوم. كما تعرضت أوكرانيا وإسبانيا وصربيا لآلاف الهجمات.

خلال النصف الأخير من العام، برزت شركة Rescoms باعتبارها عائلة البرامج الضارة السائدة والموزعة عبر AceCryptor، مع أكثر من 32000 حادث. وشكلت بولندا أكثر من نصف هذه الحالات، تليها صربيا وإسبانيا وبلغاريا وسلوفاكيا.

تشترك الهجمات التي تستهدف الشركات البولندية في موضوعات متشابهة، وغالبًا ما تتنكر على أنها عروض B2B ذات صلة بالشركات الضحية. استخدم المتسللون أسماء الشركات البولندية الحقيقية وهويات الموظفين الحاليين في رسائل البريد الإلكتروني الخاصة بهم لإضفاء المصداقية. ولا تزال الدوافع وراء هذه الهجمات غامضة. من غير المؤكد ما إذا كان المتسللون يهدفون إلى استغلال بيانات الاعتماد المسروقة للاستخدام الشخصي أو بيعها إلى جهات تهديد أخرى.

في الوقت الحاضر، تفشل الأدلة المتوفرة في نسب حملات الهجوم إلى مصدر محدد بشكل قاطع. ومع ذلك، تجدر الإشارة إلى أن المتسللين التابعين للحكومة الروسية استخدموا بشكل متكرر Remcos وSmokeLoader في عملياتهم.