AceCryptor skadelig programvare

Det har dukket opp mange nye tilfeller av infeksjon knyttet til AceCryptor-verktøyet, noe som indikerer en bekymringsfull trend. Dette verktøyet, foretrukket av hackere for sin evne til å kamuflere skadelig programvare og infiltrere systemer uoppdaget av konvensjonelle anti-malware-forsvar, har blitt brukt i en kampanje rettet mot organisasjoner over hele Europa. Forskere som har overvåket AceCryptors aktiviteter i årevis, observerer et markant skifte i denne nylige kampanjen. I motsetning til tidligere tilfeller, har angripere utvidet utvalget av tuklet kode som er samlet i sine bedrifter, og utgjør økte trusler mot målrettede enheter.

AceCryptor brukes til levering av skadelige trusler i sent stadium

AceCryptor er ofte sammenkoblet med skadelig programvare som Remcos eller Rescoms , som fungerer som kraftige fjernovervåkingsverktøy som ofte brukes i angrep mot organisasjoner i Ukraina. Ved siden av Remcos og den velkjente SmokeLoader, har forskere nå observert AceCryptor spre andre malware-stammer, inkludert varianter av STOP/Djvu Ransomware og Vidar Stealer .

Dessuten har forskere lagt merke til distinkte mønstre i de målrettede landene. Mens SmokeLoader var involvert i angrep i Ukraina, viste hendelser i Polen, Slovakia, Bulgaria og Serbia bruk av Remcos.

I omhyggelig orkestrerte kampanjer har AceCryptor blitt utnyttet til å målrette mot flere europeiske land, med sikte på å trekke ut sensitiv informasjon eller etablere innledende tilgang til forskjellige selskaper. Distribusjonen av skadelig programvare i disse angrepene skjedde ofte gjennom spam-e-poster, hvorav noen var bemerkelsesverdig overbevisende; noen ganger ble legitime e-postkontoer kapret og misbrukt for å sende disse villedende meldingene.

Hovedmålet med den siste operasjonen er å skaffe e-post- og nettleserlegitimasjon beregnet på ytterligere angrep mot de målrettede selskapene. Spesielt har flertallet av registrerte AceCryptor-hendelser fungert som det første kompromisspunktet i disse angrepene.

AceCryptors mål har endret seg gjennom 2023

I de seks månedene av 2023 var landene som primært ble berørt av AceCryptor-pakket skadelig programvare Peru, Mexico, Egypt og Tyrkia, med Peru som bar hovedtyngden av 4700 angrep. Men i et bemerkelsesverdig skifte i siste halvdel av året, omdirigerte hackere fokuset mot europeiske nasjoner, spesielt Polen, som tålte over 26 000 angrep. Ukraina, Spania og Serbia ble også utsatt for tusenvis av angrep.

I løpet av siste halvdel av året dukket Rescoms opp som den dominerende malware-familien distribuert via AceCryptor, med over 32 000 hendelser. Polen sto for mer enn halvparten av disse hendelsene, etterfulgt av Serbia, Spania, Bulgaria og Slovakia.

Angrep rettet mot polske virksomheter delte lignende emnelinjer, ofte maskert som B2B-tilbud som er relevante for de utsatte selskapene. Hackerne brukte ekte polske firmanavn og eksisterende ansattes identiteter i e-postene sine for å gi troverdighet. Motivene bak disse angrepene er fortsatt tvetydige; det er usikkert om hackerne tar sikte på å utnytte stjålet legitimasjon til personlig bruk eller selge dem til andre trusselaktører.

For tiden klarer ikke de tilgjengelige bevisene å tilskrive angrepskampanjene definitivt til en spesifikk kilde. Det er imidlertid verdt å merke seg at hackere tilknyttet den russiske regjeringen gjentatte ganger har brukt Remcos og SmokeLoader i sine operasjoner.