Зловреден софтуер AceCryptor

Появиха се множество нови случаи на инфекция, свързани с инструмента AceCryptor, което показва тревожна тенденция. Този инструмент, предпочитан от хакерите заради способността му да маскира зловреден софтуер и да прониква в системи, незабелязани от конвенционалните защити срещу зловреден софтуер, е използван в кампания, насочена към организации в цяла Европа. Изследователи, които са наблюдавали дейностите на AceCryptor от години, наблюдават отличителна промяна в тази неотдавнашна кампания. За разлика от предишни случаи, нападателите са разширили обхвата на подправен код, включен в техните експлойти, създавайки повишени заплахи за целевите обекти.

AceCryptor се използва за доставка на вредни заплахи в късен етап

AceCryptor обикновено се комбинира със зловреден софтуер като Remcos или Rescoms , които служат като мощни инструменти за дистанционно наблюдение, често използвани при атаки срещу организации в Украйна. Наред с Remcos и добре познатия SmokeLoader, изследователите вече са наблюдавали AceCryptor да разпространява други видове зловреден софтуер, включително варианти на STOP/Djvu Ransomware и Vidar Stealer .

Освен това изследователите са забелязали различни модели в целевите държави. Докато SmokeLoader участва в атаки в Украйна, инциденти в Полша, Словакия, България и Сърбия включват използването на Remcos.

В прецизно организирани кампании AceCryptor е използван за насочване към множество европейски държави, с цел извличане на чувствителна информация или установяване на първоначален достъп до различни компании. Разпространението на злонамерен софтуер при тези атаки често става чрез спам имейли, някои от които са изключително убедителни; понякога легитимни имейл акаунти са били отвличани и злоупотребявани, за да изпращат тези подвеждащи съобщения.

Основната цел на последната операция е да се придобият идентификационни данни за имейл и браузър, предназначени за по-нататъшни атаки срещу набелязаните компании. Трябва да се отбележи, че по-голямата част от регистрираните инциденти с AceCryptor са послужили като начална точка на компрометиране при тези атаки.

Целите на AceCryptor са сменени през 2023 г

През шестте месеца на 2023 г. страните, засегнати основно от злонамерен софтуер, пълен с AceCryptor, бяха Перу, Мексико, Египет и Турция, като Перу понесе основната тежест от 4700 атаки. Въпреки това, в забележителна промяна през втората половина на годината, хакерите пренасочиха фокуса си към европейските нации, особено Полша, която претърпя над 26 000 атаки. Украйна, Испания и Сърбия също бяха подложени на хиляди атаки.

През втората половина на годината Rescoms се очерта като преобладаващото семейство зловреден софтуер, разпространяван чрез AceCryptor, с над 32 000 инцидента. Полша представлява повече от половината от тези събития, следвана от Сърбия, Испания, България и Словакия.

Атаките, насочени към полски бизнес, споделят сходни тематични линии, често маскирани като B2B оферти, подходящи за компаниите-жертви. Хакерите са използвали истински полски имена на компании и съществуващи самоличности на служители в своите имейли, за да придадат достоверност. Мотивите зад тези атаки остават неясни; не е сигурно дали хакерите имат за цел да използват откраднати идентификационни данни за лична употреба или да ги продадат на други заплахи.

Понастоящем наличните доказателства не успяват да припишат категорично кампаниите за атака на конкретен източник. Заслужава обаче да се отбележи, че хакери, свързани с руското правителство, често са използвали Remcos и SmokeLoader в своите операции.