AceCryptor Malwarebrug stiger i Europa

Tusindvis af nye infektioner knyttet til AceCryptor-værktøjet – som gør det muligt for hackere at skjule malware og infiltrere systemer uopdaget af antivirussoftware – er blevet afsløret i en fælles indsats rettet mod organisationer i hele Europa.

Forskere har brugt år på at overvåge AceCryptor. De afslørede onsdag, at den seneste kampagne adskilte sig fra tidligere, da angribere udvidede rækken af ondsindet kode indkapslet indeni.

Traditionelt ledsager AceCryptor malware såsom Remcos eller Rescoms - potente fjernovervågningsværktøjer, der ofte anvendes mod organisationer i Ukraine. Ved siden af Remcos og et andet kendt værktøj, SmokeLoader, bemærkede forskere tilfælde, hvor AceCryptor distribuerede malware som STOP ransomware og Vidar stealer.

Forskere observerede tydelige variationer i de målrettede lande. Mens SmokeLoader var med i angreb i Ukraine, involverede hændelser i Polen, Slovakiet, Bulgarien og Serbien Remcos.

I disse operationer blev AceCryptor brugt til at målrette mod flere europæiske lande, udtrække information eller få indledende adgang til adskillige virksomheder. Ondsindet software blev spredt gennem spam-e-mails, hvoraf nogle var meget overbevisende, og nogle gange stammede fra legitime, men udnyttede e-mail-konti.

AceCryptor-angreb går efter browserlegitimationsoplysninger

Den seneste operation har til formål at erhverve e-mail- og browserlegitimationsoplysninger til efterfølgende overfald mod de målrettede enheder. Størstedelen af malwareprøverne fungerede som en indledende kompromisvektor.

I første halvdel af 2023 var de lande, der var mest påvirket af AceCryptor-pakket malware, Peru, Mexico, Egypten og Tyrkiet, hvor Peru udholdt det højeste antal angreb med 4.700.

I sidste halvdel af 2023 flyttede fokus til europæiske nationer, hvor Polen var mål for over 26.000 angreb. Ukraine, Spanien og Serbien oplevede også tusindvis af angreb.

I løbet af sidste halvdel af året dukkede Rescoms op som den dominerende malware-familie pakket af AceCryptor, der tegnede sig for over 32.000 tilfælde. Polen registrerede over halvdelen af disse forsøg, efterfulgt af Serbien, Spanien, Bulgarien og Slovakiet, rapporterede forskerne.

I alt blev over 26.000 af disse angreb i Polen registreret i denne periode.

Angreb på polske virksomheder indeholdt lignende emnelinjer relateret til B2B-tilbud til en offervirksomhed. Hackere forsøgte at give legitimitet til e-mails ved at bruge ægte polske firmanavne og eksisterende medarbejdernavne.

Forskere bemærkede usikkerhed om, hvorvidt hackerne sigter mod at beholde stjålne legitimationsoplysninger til deres brug eller sælge dem til andre trusselsaktører.

Mens forskere ikke kunne udpege kilden til angrebskampagnerne, er Remcos og SmokeLoader gentagne gange blevet forbundet med hackere, der opererer på vegne af den russiske regering.