Augmentation de l'utilisation du logiciel malveillant AceCryptor en Europe

Des milliers de nouvelles infections liées à l'outil AceCryptor — qui permet aux pirates informatiques de dissimuler des logiciels malveillants et d'infiltrer des systèmes sans être détectés par un logiciel antivirus — ont été découvertes dans le cadre d'un effort concerté ciblant les organisations à travers l'Europe.

Les chercheurs ont consacré des années à surveiller AceCryptor. Ils ont révélé mercredi que la récente campagne différait des précédentes dans la mesure où les attaquants élargissaient la gamme de codes malveillants encapsulés.

Traditionnellement, AceCryptor accompagne des logiciels malveillants tels que Remcos ou Rescoms, de puissants outils de surveillance à distance fréquemment utilisés contre des organisations en Ukraine. Aux côtés de Remcos et d'un autre outil connu, SmokeLoader, les chercheurs ont noté des cas où AceCryptor a distribué des logiciels malveillants tels que le ransomware STOP et le voleur Vidar.

Les chercheurs ont observé des variations distinctes selon les pays ciblés. Alors que SmokeLoader a participé à des attaques en Ukraine, des incidents en Pologne, en Slovaquie, en Bulgarie et en Serbie ont impliqué Remcos.

Dans ces opérations, AceCryptor a été utilisé pour cibler plusieurs pays européens, en extrayant des informations ou en obtenant un premier accès à de nombreuses entreprises. Des logiciels malveillants étaient diffusés via des courriers indésirables, dont certains étaient très convaincants, provenant parfois de comptes de messagerie légitimes mais exploités.

Les attaques d'AceCryptor s'attaquent aux informations d'identification du navigateur

L'opération récente vise à acquérir des informations d'identification de messagerie et de navigateur pour des attaques ultérieures contre les entités ciblées. La majorité des échantillons de logiciels malveillants ont servi de vecteur de compromission initial.

Au premier semestre 2023, les pays les plus touchés par les logiciels malveillants fournis par AceCryptor étaient le Pérou, le Mexique, l'Égypte et la Turquie, le Pérou ayant subi le plus grand nombre d'attaques, soit 4 700.

Au cours du second semestre 2023, l’attention s’est portée sur les pays européens, la Pologne ayant été la cible de plus de 26 000 attaques. L’Ukraine, l’Espagne et la Serbie ont également connu des milliers d’attaques.

Au cours du second semestre, Rescoms est devenu la principale famille de logiciels malveillants regroupés par AceCryptor, représentant plus de 32 000 instances. La Pologne a enregistré plus de la moitié de ces tentatives, suivie par la Serbie, l'Espagne, la Bulgarie et la Slovaquie, ont rapporté les chercheurs.

Au total, plus de 26 000 de ces attaques ont été enregistrées en Pologne au cours de cette période.

Les attaques contre des entreprises polonaises comportaient des sujets similaires liés aux offres B2B destinées à une entreprise victime. Les pirates informatiques se sont efforcés de donner une légitimité aux e-mails en utilisant de véritables noms d'entreprises polonaises et les noms d'employés existants.

Les chercheurs ont noté une incertitude quant à savoir si les pirates avaient pour objectif de conserver les informations d'identification volées pour leur usage ou de les vendre à d'autres acteurs malveillants.

Bien que les chercheurs n'aient pas pu identifier la source des campagnes d'attaque, Remcos et SmokeLoader ont été associés de manière récurrente à des pirates informatiques agissant pour le compte du gouvernement russe.