Malware AceCryptor

Objevily se četné nové případy infekce spojené s nástrojem AceCryptor, což naznačuje znepokojivý trend. Tento nástroj, oblíbený hackery pro jeho schopnost maskovat malware a infiltrovat systémy, které konvenční ochrana proti malwaru neodhalila, byl využit v kampani zaměřené na organizace v celé Evropě. Výzkumníci, kteří roky sledovali aktivity AceCryptoru, pozorují v této nedávné kampani výrazný posun. Na rozdíl od předchozích instancí útočníci rozšířili rozsah zmanipulovaného kódu v rámci jejich exploitů, což představuje zvýšenou hrozbu pro cílové entity.

AceCryptor se používá k doručení škodlivých hrozeb v pozdní fázi

AceCryptor je běžně spárován s malwarem, jako je Remcos nebo Rescoms , které slouží jako účinné nástroje vzdáleného dohledu často používané při útocích proti organizacím na Ukrajině. Spolu s Remcos a známým SmokeLoaderem nyní vědci pozorovali, že AceCryptor šíří další kmeny malwaru, včetně variant STOP/Djvu Ransomware a Vidar Stealer .

Kromě toho výzkumníci zaznamenali v cílových zemích odlišné vzorce. Zatímco SmokeLoader byl zapojen do útoků na Ukrajině, incidenty v Polsku, na Slovensku, v Bulharsku a Srbsku představovaly použití Remcos.

V pečlivě organizovaných kampaních byl AceCryptor využíván k zacílení na několik evropských zemí s cílem získat citlivé informace nebo vytvořit počáteční přístup k různým společnostem. K šíření malwaru při těchto útocích často docházelo prostřednictvím spamových e-mailů, z nichž některé byly pozoruhodně přesvědčivé; občas byly legitimní e-mailové účty uneseny a zneužity k zasílání těchto zavádějících zpráv.

Primárním cílem nejnovější operace je získat přihlašovací údaje k e-mailu a prohlížeči určené pro další útoky proti cílovým společnostem. Je pozoruhodné, že většina zaznamenaných incidentů AceCryptor sloužila jako počáteční bod kompromisu v těchto útocích.

Cíle AceCryptoru se v průběhu roku 2023 změnily

V šesti měsících roku 2023 byly zeměmi primárně zasaženými malwarem nabitým AceCryptorem Peru, Mexiko, Egypt a Turecko, přičemž Peru neslo hlavní tíhu 4 700 útoků. V druhé polovině roku však hackeři výrazně změnili své zaměření na evropské země, zejména Polsko, které vydrželo více než 26 000 útoků. Ukrajina, Španělsko a Srbsko byly také vystaveny tisícům útoků.

Během druhé poloviny roku se Rescoms ukázal jako převládající rodina malwaru distribuovaného prostřednictvím AceCryptor s více než 32 000 incidenty. Více než polovinu těchto výskytů představovalo Polsko, dále Srbsko, Španělsko, Bulharsko a Slovensko.

Útoky zaměřené na polské podniky sdílely podobné tématické okruhy, které se často vydávaly za nabídky B2B relevantní pro viktimizované společnosti. Hackeři použili ve svých e-mailech pravá polská jména společností a stávající identity zaměstnanců, aby dodali důvěryhodnosti. Motivy těchto útoků zůstávají nejednoznačné; není jisté, zda se hackeři snaží zneužít ukradené přihlašovací údaje pro osobní použití nebo je prodat jiným aktérům hrozeb.

V současné době dostupné důkazy nedokážou definitivně připsat útočné kampaně konkrétnímu zdroji. Nicméně stojí za zmínku, že hackeři přidružení k ruské vládě opakovaně zaměstnávali Remcos a SmokeLoader ve svých operacích.