AceCryptor Malware

Au apărut numeroase cazuri noi de infecție legate de instrumentul AceCryptor, indicând o tendință îngrijorătoare. Acest instrument, favorizat de hackeri pentru capacitatea sa de a camufla programele malware și de a se infiltra în sistemele nedetectate de apărările anti-malware convenționale, a fost utilizat într-o campanie destinată organizațiilor din întreaga Europă. Cercetătorii care au monitorizat activitățile AceCryptor de ani de zile observă o schimbare distinctă în această campanie recentă. Spre deosebire de cazurile anterioare, atacatorii au lărgit gama de coduri falsificate incluse în exploit-urile lor, ridicând amenințări la adresa entităților vizate.

AceCryptor este utilizat pentru livrarea amenințărilor dăunătoare în faza ulterioară

AceCryptor este asociat în mod obișnuit cu programe malware precum Remcos sau Rescoms , care servesc ca instrumente puternice de supraveghere la distanță utilizate frecvent în atacurile împotriva organizațiilor din Ucraina. Alături de Remcos și binecunoscutul SmokeLoader, cercetătorii au observat acum că AceCryptor diseminează alte tulpini de malware, inclusiv variante ale STOP/Djvu Ransomware și Vidar Stealer .

Mai mult, cercetătorii au observat modele distincte în țările vizate. În timp ce SmokeLoader a fost implicat în atacuri din Ucraina, incidentele din Polonia, Slovacia, Bulgaria și Serbia au prezentat utilizarea Remcos.

În campanii meticulos orchestrate, AceCryptor a fost folosit pentru a viza mai multe țări europene, cu scopul de a extrage informații sensibile sau de a stabili accesul inițial la diverse companii. Distribuția de malware în aceste atacuri a avut loc adesea prin e-mailuri spam, dintre care unele au fost remarcabil de convingătoare; ocazional, conturile de e-mail legitime au fost deturnate și abuzate pentru a trimite aceste mesaje înșelătoare.

Obiectivul principal al celei mai recente operațiuni este de a obține acreditări de e-mail și browser destinate atacurilor ulterioare împotriva companiilor vizate. În special, majoritatea incidentelor înregistrate cu AceCryptor au servit drept punct inițial de compromis în aceste atacuri.

Țintele lui AceCryptor s-au schimbat de-a lungul anului 2023

În cele șase luni ale anului 2023, țările afectate în principal de malware-ul ambalat cu AceCryptor au fost Peru, Mexic, Egipt și Turcia, Peru suportând cel mai mult 4.700 de atacuri. Cu toate acestea, într-o schimbare notabilă în a doua jumătate a anului, hackerii și-au redirecționat atenția către națiunile europene, în special Polonia, care a suferit peste 26.000 de atacuri. Ucraina, Spania și Serbia au fost, de asemenea, supuse mii de atacuri.

În a doua jumătate a anului, Rescoms a apărut ca familia de malware predominantă distribuită prin AceCryptor, cu peste 32.000 de incidente. Polonia a reprezentat mai mult de jumătate din aceste evenimente, urmată de Serbia, Spania, Bulgaria și Slovacia.

Atacurile care vizează companiile poloneze au împărtășit subiecte similare, deseori mascandu-se drept oferte B2B relevante pentru companiile victimizate. Hackerii au folosit nume autentice de companii poloneze și identitățile angajaților existente în e-mailurile lor pentru a da credibilitate. Motivele din spatele acestor atacuri rămân ambigue; nu este sigur dacă hackerii urmăresc să exploateze acreditările furate pentru uz personal sau să le vândă altor actori amenințări.

În prezent, dovezile disponibile nu reușesc să atribuie definitiv campaniile de atac unei anumite surse. Cu toate acestea, merită remarcat faptul că hackerii afiliați guvernului rus au angajat în mod recurent Remcos și SmokeLoader în operațiunile lor.