AceCryptor Malware

Számos új fertőzési eset merült fel az AceCryptor eszközzel kapcsolatban, ami aggasztó tendenciát jelez. Ezt az eszközt, amelyet a hackerek kedveltek, mivel képes álcázni a rosszindulatú programokat, és behatolni a hagyományos kártevő-ellenes védelem által nem észlelt rendszerekbe, egy Európa-szerte szervezett kampányban használták. Azok a kutatók, akik évek óta figyelték az AceCryptor tevékenységét, jellegzetes változást figyeltek meg ebben a legutóbbi kampányban. A korábbi esetekkel ellentétben a támadók kibővítették a kizsákmányolásaikon belüli manipulált kódok körét, ami fokozott fenyegetést jelent a megcélzott entitásokra.

Az AceCryptort káros, késői stádiumú fenyegetések szállítására használják

Az AceCryptort általában olyan rosszindulatú programokkal párosítják, mint például a Remcos vagy a Rescoms , amelyek hatékony távoli felügyeleti eszközökként szolgálnak, amelyeket gyakran alkalmaznak az ukrajnai szervezetek elleni támadásoknál. A Remcos és a jól ismert SmokeLoader mellett a kutatók megfigyelték, hogy az AceCryptor más rosszindulatú programtörzseket is terjeszt, köztük a STOP/Djvu Ransomware és a Vidar Stealer változatait.

Ezenkívül a kutatók eltérő mintákat észleltek a megcélzott országokban. Míg a SmokeLoader részt vett az ukrajnai támadásokban, Lengyelországban, Szlovákiában, Bulgáriában és Szerbiában történtek a Remcos használata.

Az aprólékosan megtervezett kampányok során az AceCryptort több európai ország megcélzására is felhasználták, azzal a céllal, hogy érzékeny információkat nyerjenek ki, vagy kezdeti hozzáférést biztosítsanak különböző cégekhez. A rosszindulatú programok terjesztése ezekben a támadásokban gyakran spam e-maileken keresztül történt, amelyek közül néhány rendkívül meggyőző volt; időnként törvényes e-mail fiókokat feltörtek és visszaéltek ilyen félrevezető üzenetek küldésére.

A legújabb akció elsődleges célja a megcélzott cégek elleni további támadásokhoz szükséges e-mail és böngésző hitelesítő adatok megszerzése. Nevezetesen, a rögzített AceCryptor incidensek többsége a kezdeti kompromisszumos pontként szolgált ezekben a támadásokban.

Az AceCryptor céljai 2023 során változtak

2023 hat hónapjában az AceCryptorral csomagolt rosszindulatú programok által elsősorban Peru, Mexikó, Egyiptom és Törökország érintett országok, Peru pedig 4700 támadást szenvedett el. Az év második felében azonban egy figyelemre méltó elmozdulás során a hackerek az európai nemzetekre, különösen Lengyelországra irányították figyelmüket, amely több mint 26 000 támadást szenvedett el. Ukrajnát, Spanyolországot és Szerbiát is több ezer támadás érte.

Az év második felében a Rescoms vált az AceCryptoron keresztül terjesztett rosszindulatú programok túlnyomó családjává, több mint 32 000 incidenssel. Az esetek több mint fele Lengyelországban történt, ezt követi Szerbia, Spanyolország, Bulgária és Szlovákia.

A lengyel vállalkozásokat célzó támadások tárgya hasonló volt, gyakran az áldozattá vált vállalatok számára releváns B2B ajánlatoknak álcázva magukat. A hackerek valódi lengyel cégneveket és meglévő alkalmazottak azonosítóit használtak fel e-mailjeikben, hogy hitelességet kölcsönözzenek. A támadások mögött meghúzódó indítékok továbbra is kétértelműek; nem biztos, hogy a hackerek célja az ellopott hitelesítő adatok személyes felhasználásra való kihasználása, vagy más fenyegetés szereplőinek adják el azokat.

Jelenleg a rendelkezésre álló bizonyítékok nem teszik lehetővé, hogy a támadási kampányokat egyértelműen egy konkrét forrásnak tulajdonítsák. Érdemes azonban megjegyezni, hogy az orosz kormánnyal kapcsolatban álló hackerek rendszeresen alkalmazzák a Remcost és a SmokeLoadert tevékenységeik során.