Malware AceCryptor

Sono emersi numerosi nuovi casi di infezione legati allo strumento AceCryptor, il che indica una tendenza preoccupante. Questo strumento, preferito dagli hacker per la sua capacità di camuffare malware e infiltrarsi nei sistemi senza essere rilevato dalle difese antimalware convenzionali, è stato utilizzato in una campagna rivolta a organizzazioni di tutta Europa. I ricercatori che monitorano le attività di AceCryptor da anni osservano un cambiamento distintivo in questa recente campagna. A differenza dei casi precedenti, gli aggressori hanno ampliato la gamma di codici manomessi inseriti nei loro exploit, ponendo minacce maggiori alle entità prese di mira.

AceCryptor viene utilizzato per la distribuzione di minacce dannose in fase avanzata

AceCryptor è comunemente associato a malware come Remcos o Rescoms , che fungono da potenti strumenti di sorveglianza remota spesso utilizzati negli attacchi contro le organizzazioni in Ucraina. Oltre a Remcos e al noto SmokeLoader, i ricercatori hanno ora osservato AceCryptor diffondere altri ceppi di malware, tra cui varianti del ransomware STOP/Djvu e del Vidar Stealer .

Inoltre, i ricercatori hanno notato modelli distinti nei paesi presi di mira. Mentre SmokeLoader è stato coinvolto negli attacchi in Ucraina, gli incidenti in Polonia, Slovacchia, Bulgaria e Serbia hanno visto l’uso di Remcos.

In campagne meticolosamente orchestrate, AceCryptor è stato sfruttato per prendere di mira più paesi europei, con l'obiettivo di estrarre informazioni sensibili o stabilire l'accesso iniziale a varie società. La distribuzione del malware in questi attacchi avveniva spesso tramite e-mail di spam, alcune delle quali notevolmente convincenti; occasionalmente, account di posta elettronica legittimi venivano violati e utilizzati in modo improprio per inviare messaggi fuorvianti.

L'obiettivo principale dell'ultima operazione è acquisire credenziali di posta elettronica e browser destinate a ulteriori attacchi contro le aziende prese di mira. In particolare, la maggior parte degli incidenti AceCryptor registrati sono serviti come punto iniziale di compromesso in questi attacchi.

Gli obiettivi di AceCryptor sono cambiati nel corso del 2023

Nei sei mesi del 2023, i paesi maggiormente colpiti dal malware ricco di AceCryptor sono stati Perù, Messico, Egitto e Turchia, con il Perù che ha subito il peso maggiore di 4.700 attacchi. Tuttavia, con un notevole cambiamento durante la seconda metà dell’anno, gli hacker hanno reindirizzato la loro attenzione verso le nazioni europee, in particolare la Polonia, che ha subito oltre 26.000 attacchi. Anche Ucraina, Spagna e Serbia sono state oggetto di migliaia di attacchi.

Nella seconda metà dell'anno, Rescoms è emersa come la famiglia di malware predominante distribuita tramite AceCryptor, con oltre 32.000 incidenti. La Polonia ha rappresentato più della metà di questi eventi, seguita da Serbia, Spagna, Bulgaria e Slovacchia.

Gli attacchi contro le imprese polacche condividevano argomenti simili, spesso mascherati da offerte B2B rilevanti per le aziende vittime. Gli hacker hanno utilizzato nomi di società polacche autentiche e identità di dipendenti esistenti nelle loro e-mail per conferire credibilità. I motivi dietro questi attacchi rimangono ambigui; non è chiaro se gli hacker mirino a sfruttare le credenziali rubate per uso personale o a venderle ad altri autori di minacce.

Attualmente le prove disponibili non riescono ad attribuire in modo definitivo le campagne di attacco ad una fonte specifica. Tuttavia, vale la pena notare che gli hacker affiliati al governo russo hanno utilizzato ripetutamente Remcos e SmokeLoader nelle loro operazioni.