Malware AceCryptor

Surgiram vários novos casos de infecção ligados à ferramenta AceCryptor, indicando uma tendência preocupante. Esta ferramenta, preferida pelos hackers pela sua capacidade de camuflar malware e infiltrar-se em sistemas sem ser detectada pelas defesas antimalware convencionais, tem sido utilizada numa campanha dirigida a organizações em toda a Europa. Pesquisadores que monitoram as atividades do AceCryptor há anos observam uma mudança distinta nesta campanha recente. Ao contrário dos casos anteriores, os atacantes ampliaram a gama de códigos adulterados incluídos nas suas explorações, representando ameaças acrescidas às entidades visadas.

O AceCryptor é Usado para Entregar Ameaças Prejudiciais em Estágio Avançado

O AceCryptor é comumente associado a malware como Remcos ou Rescoms, que servem como potentes ferramentas de vigilância remota frequentemente empregadas em ataques contra organizações na Ucrânia. Juntamente com o Remcos e o conhecido SmokeLoader, os pesquisadores observaram agora o AceCryptor disseminando outras variedades de malware, incluindo variantes do STOP/Djvu Ransomware e do Vidar Stealer.

Além disso, os investigadores notaram padrões distintos nos países visados. Embora o SmokeLoader estivesse envolvido em ataques na Ucrânia, incidentes na Polónia, Eslováquia, Bulgária e Sérvia incluíram o uso de Remcos.

Em campanhas meticulosamente orquestradas, o AceCryptor foi aproveitado para atingir vários países europeus, com o objetivo de extrair informações confidenciais ou estabelecer acesso inicial a várias empresas. A distribuição de malware nestes ataques ocorreu frequentemente através de e-mails de spam, alguns dos quais foram notavelmente convincentes; ocasionalmente, contas de e-mail legítimas eram sequestradas e abusadas para enviar essas mensagens enganosas.

O objetivo principal da operação mais recente é adquirir credenciais de e-mail e navegador destinadas a novos ataques contra as empresas visadas. Notavelmente, a maioria dos incidentes registrados do AceCryptor serviram como ponto inicial de comprometimento nesses ataques.

Os Alvos do AceCryptor Mudaram ao Longo de 2023

Nos seis meses de 2023, os países mais afetados pelo malware repleto de AceCryptor foram Peru, México, Egito e Turquia, com o Peru sofrendo o impacto de 4.700 ataques. No entanto, numa mudança notável durante a segunda metade do ano, os hackers redireccionaram o seu foco para os países europeus, especialmente a Polónia, que sofreu mais de 26.000 ataques. A Ucrânia, a Espanha e a Sérvia também foram alvo de milhares de ataques.

Durante a segunda metade do ano, o Rescoms emergiu como a família de malware predominante distribuída via AceCryptor, com mais de 32.000 incidentes. A Polónia foi responsável por mais de metade destas ocorrências, seguida pela Sérvia, Espanha, Bulgária e Eslováquia.

Os ataques dirigidos a empresas polacas partilhavam assuntos semelhantes, muitas vezes disfarçados de ofertas B2B relevantes para as empresas vitimadas. Os hackers utilizaram nomes genuínos de empresas polonesas e identidades de funcionários existentes em seus e-mails para dar credibilidade. Os motivos por trás destes ataques permanecem ambíguos; não se sabe se os hackers pretendem explorar credenciais roubadas para uso pessoal ou vendê-las a outros agentes de ameaças.

Atualmente, as evidências disponíveis não atribuem definitivamente as campanhas de ataque a uma fonte específica. No entanto, é importante notar que hackers afiliados ao governo russo empregaram recorrentemente Remcos e SmokeLoader em suas operações.