Programari maliciós AceCryptor

Han sorgit nombrosos casos nous d'infecció relacionats amb l'eina AceCryptor, que indiquen una tendència preocupant. Aquesta eina, afavorida pels pirates informàtics per la seva capacitat per camuflar programari maliciós i infiltrar-se en sistemes sense ser detectat per les defenses anti-malware convencionals, s'ha utilitzat en una campanya dirigida a organitzacions d'arreu d'Europa. Els investigadors que han supervisat les activitats d'AceCryptor durant anys observen un canvi distintiu en aquesta campanya recent. A diferència de les instàncies anteriors, els atacants han ampliat la gamma de codi manipulat inclòs dins dels seus exploits, suposant amenaces més elevades per a les entitats apuntades.

AceCryptor s'utilitza per al lliurament d'amenaces perjudicials en fase tardana

AceCryptor es combina habitualment amb programari maliciós com Remcos o Rescoms , que serveixen com a potents eines de vigilància remota que s'utilitzen amb freqüència en atacs contra organitzacions a Ucraïna. Al costat de Remcos i el conegut SmokeLoader, els investigadors ara han observat que AceCryptor difon altres soques de programari maliciós, incloses variants del STOP/Djvu Ransomware i el Vidar Stealer .

A més, els investigadors han observat patrons diferents als països objectiu. Mentre que SmokeLoader va participar en atacs a Ucraïna, els incidents a Polònia, Eslovàquia, Bulgària i Sèrbia van incloure l'ús de Remcos.

En campanyes minuciosament orquestades, AceCryptor s'ha aprofitat per orientar-se a diversos països europeus, amb l'objectiu d'extreure informació sensible o establir un accés inicial a diverses empreses. La distribució de programari maliciós en aquests atacs es va produir sovint a través de correus electrònics de correu brossa, alguns dels quals eren notablement convincents; ocasionalment, els comptes de correu electrònic legítims van ser segrestats i abusats per enviar aquests missatges enganyosos.

L'objectiu principal de l'última operació és adquirir credencials de correu electrònic i navegador destinades a més agressions contra les empreses objectiu. En particular, la majoria dels incidents registrats amb AceCryptor han servit com a punt inicial de compromís en aquests atacs.

Els objectius d'AceCryptor han canviat al llarg del 2023

Durant els sis mesos del 2023, els països afectats principalment pel programari maliciós ple d'AceCryptor van ser el Perú, Mèxic, Egipte i Turquia, i el Perú va patir la pes de 4.700 atacs. Tanmateix, en un canvi notable durant la segona meitat de l'any, els pirates informàtics van redirigir el seu enfocament cap a les nacions europees, especialment Polònia, que va patir més de 26.000 atacs. Ucraïna, Espanya i Sèrbia també van ser objecte de milers d'atacs.

Durant la segona meitat de l'any, Rescoms va emergir com la família de programari maliciós predominant distribuït mitjançant AceCryptor, amb més de 32.000 incidents. Polònia va representar més de la meitat d'aquests casos, seguida de Sèrbia, Espanya, Bulgària i Eslovàquia.

Els atacs dirigits a empreses poloneses compartien temes similars, sovint disfressats d'ofertes B2B rellevants per a les empreses víctimes. Els pirates informàtics van utilitzar noms genuïns d'empreses poloneses i identitats dels empleats existents als seus correus electrònics per donar credibilitat. Els motius d'aquests atacs segueixen sent ambigus; No està clar si els pirates informàtics pretenen explotar les credencials robades per a ús personal o vendre-les a altres actors d'amenaça.

Actualment, les proves disponibles no poden atribuir les campanyes d'atac a una font específica de manera definitiva. No obstant això, val la pena assenyalar que els pirates informàtics afiliats al govern rus han emprat de manera recurrent Remcos i SmokeLoader en les seves operacions.