Phần mềm độc hại AceCryptor

Nhiều trường hợp lây nhiễm mới liên quan đến công cụ AceCryptor đã xuất hiện, cho thấy một xu hướng đáng lo ngại. Công cụ này được tin tặc ưa chuộng vì khả năng ngụy trang phần mềm độc hại và xâm nhập vào các hệ thống mà các hệ thống phòng thủ chống phần mềm độc hại thông thường không phát hiện được, đã được sử dụng trong một chiến dịch nhằm vào các tổ chức trên khắp Châu Âu. Các nhà nghiên cứu đã theo dõi hoạt động của AceCryptor trong nhiều năm đã quan sát thấy một sự thay đổi đặc biệt trong chiến dịch gần đây này. Không giống như các trường hợp trước, những kẻ tấn công đã mở rộng phạm vi mã giả mạo được gói trong các hoạt động khai thác của chúng, gây ra mối đe dọa cao hơn cho các thực thể mục tiêu.

AceCryptor được sử dụng để phát tán các mối đe dọa có hại ở giai đoạn cuối

AceCryptor thường được kết hợp với phần mềm độc hại như Remcos hoặc Rescoms , những phần mềm này đóng vai trò là công cụ giám sát từ xa mạnh mẽ thường được sử dụng trong các cuộc tấn công chống lại các tổ chức ở Ukraine. Cùng với Remcos và SmokeLoader nổi tiếng, các nhà nghiên cứu hiện đã quan sát thấy AceCryptor phát tán các chủng phần mềm độc hại khác, bao gồm các biến thể của STOP/Djvu Ransomware và Vidar Stealer .

Hơn nữa, các nhà nghiên cứu đã ghi nhận các mô hình khác biệt ở các quốc gia mục tiêu. Trong khi SmokeLoader có liên quan đến các cuộc tấn công ở Ukraine thì các sự cố ở Ba Lan, Slovakia, Bulgaria và Serbia lại liên quan đến việc sử dụng Remcos.

Trong các chiến dịch được dàn dựng tỉ mỉ, AceCryptor đã được tận dụng để nhắm mục tiêu vào nhiều quốc gia châu Âu, nhằm mục đích trích xuất thông tin nhạy cảm hoặc thiết lập quyền truy cập ban đầu vào nhiều công ty khác nhau. Việc phát tán phần mềm độc hại trong các cuộc tấn công này thường xảy ra thông qua email spam, một số email trong số đó có sức thuyết phục đáng kể; đôi khi, các tài khoản email hợp pháp bị chiếm đoạt và lạm dụng để gửi những tin nhắn gây hiểu lầm này.

Mục tiêu chính của hoạt động mới nhất là lấy thông tin đăng nhập email và trình duyệt nhằm mục đích tấn công thêm vào các công ty mục tiêu. Đáng chú ý, phần lớn các sự cố AceCryptor được ghi lại đều đóng vai trò là điểm xâm phạm ban đầu trong các cuộc tấn công này.

Mục tiêu của AceCryptor đã thay đổi trong suốt năm 2023

Trong sáu tháng năm 2023, các quốc gia bị ảnh hưởng chủ yếu bởi phần mềm độc hại chứa AceCryptor là Peru, Mexico, Ai Cập và Thổ Nhĩ Kỳ, trong đó Peru phải gánh chịu 4.700 cuộc tấn công. Tuy nhiên, trong một sự thay đổi đáng chú ý trong nửa cuối năm, tin tặc đã chuyển hướng tập trung sang các quốc gia châu Âu, đặc biệt là Ba Lan, nơi đã hứng chịu hơn 26.000 cuộc tấn công. Ukraine, Tây Ban Nha và Serbia cũng là nạn nhân của hàng nghìn cuộc tấn công.

Trong nửa cuối năm, Rescoms nổi lên như dòng phần mềm độc hại chiếm ưu thế được phân phối qua AceCryptor, với hơn 32.000 sự cố. Ba Lan chiếm hơn một nửa số vụ này, tiếp theo là Serbia, Tây Ban Nha, Bulgaria và Slovakia.

Các cuộc tấn công nhắm vào các doanh nghiệp Ba Lan có chung dòng chủ đề, thường giả dạng các ưu đãi B2B có liên quan đến các công ty bị nạn nhân. Các tin tặc đã sử dụng tên chính hãng của các công ty Ba Lan và danh tính nhân viên hiện có trong email của họ để tạo uy tín. Động cơ đằng sau những cuộc tấn công này vẫn còn mơ hồ; không rõ liệu tin tặc có mục đích khai thác thông tin đăng nhập bị đánh cắp để sử dụng cá nhân hay bán chúng cho các tác nhân đe dọa khác.

Hiện tại, bằng chứng sẵn có không thể xác định rõ ràng các chiến dịch tấn công vào một nguồn cụ thể. Tuy nhiên, điều đáng chú ý là các tin tặc liên kết với chính phủ Nga đã thường xuyên sử dụng Remcos và SmokeLoader trong hoạt động của chúng.