El uso de malware AceCryptor aumenta en Europa

Miles de nuevas infecciones vinculadas a la herramienta AceCryptor, que permite a los piratas informáticos ocultar malware e infiltrarse en sistemas sin ser detectados por el software antivirus, han sido descubiertas en un esfuerzo concertado dirigido a organizaciones de toda Europa.

Los investigadores han dedicado años a monitorear AceCryptor. Revelaron el miércoles que la campaña reciente difería de las anteriores ya que los atacantes ampliaron la gama de códigos maliciosos encapsulados en ella.

Tradicionalmente, AceCryptor acompaña a malware como Remcos o Rescoms, potentes herramientas de vigilancia remota que se emplean frecuentemente contra organizaciones en Ucrania. Además de Remcos y otra herramienta conocida, SmokeLoader, los investigadores observaron casos en los que AceCryptor distribuyó malware como el ransomware STOP y el ladrón Vidar.

Los investigadores observaron distintas variaciones en los países objetivo. Si bien SmokeLoader apareció en ataques en Ucrania, los incidentes en Polonia, Eslovaquia, Bulgaria y Serbia involucraron a Remcos.

En estas operaciones, AceCryptor se utilizó para apuntar a múltiples países europeos, extrayendo información u obteniendo acceso inicial a numerosas empresas. Se difundió software malicioso a través de correos electrónicos no deseados, algunos de los cuales eran muy convincentes y, en ocasiones, procedían de cuentas de correo electrónico legítimas pero explotadas.

Los ataques de AceCryptor van tras las credenciales del navegador

La reciente operación tiene como objetivo adquirir credenciales de correo electrónico y navegador para ataques posteriores contra las entidades objetivo. La mayoría de las muestras de malware sirvieron como vector de compromiso inicial.

En la primera mitad de 2023, los países más afectados por el malware empaquetado con AceCryptor fueron Perú, México, Egipto y Turquía, siendo Perú el que sufrió el mayor número de ataques con 4.700.

En la segunda mitad de 2023, la atención se centró en las naciones europeas: Polonia fue objeto de más de 26.000 ataques. Ucrania, España y Serbia también sufrieron miles de ataques.

Durante la segunda mitad del año, Rescoms emergió como la familia de malware predominante empaquetada por AceCryptor, con más de 32.000 instancias. Polonia registró más de la mitad de estos intentos, seguida de Serbia, España, Bulgaria y Eslovaquia, informaron los investigadores.

En total, durante este período se registraron más de 26.000 de estos ataques en Polonia.

Los ataques a empresas polacas presentaban asuntos similares relacionados con ofertas B2B para una empresa víctima. Los piratas informáticos intentaron dar legitimidad a los correos electrónicos utilizando nombres auténticos de empresas polacas y nombres de empleados existentes.

Los investigadores notaron incertidumbre sobre si los piratas informáticos pretenden conservar las credenciales robadas para su uso o venderlas a otros actores de amenazas.

Si bien los investigadores no pudieron identificar la fuente de las campañas de ataque, Remcos y SmokeLoader han sido asociados recurrentemente con piratas informáticos que operan en nombre del gobierno ruso.