Az AceCryptor rosszindulatú programhasználati túllépése Európában

Az AceCryptor eszközhöz kapcsolódó új fertőzések ezrei – amely lehetővé teszi a hackerek számára, hogy elrejtsék a rosszindulatú programokat, és beszivárogjanak a vírusirtó szoftverek által nem észlelt rendszerekbe – Európa-szerte szervezett szervezeteket célzó összehangolt erőfeszítések során derült fény.

A kutatók éveket szenteltek az AceCryptor monitorozásának. Szerdán felfedték, hogy a legutóbbi kampány különbözött a korábbiaktól, mivel a támadók kibővítették a rosszindulatú kódok körét.

Hagyományosan az AceCryptor olyan rosszindulatú programokat kísér, mint a Remcos vagy Rescoms – hatékony távoli felügyeleti eszközök, amelyeket gyakran alkalmaznak az ukrajnai szervezetek ellen. A Remcos és egy másik ismert eszköz, a SmokeLoader mellett a kutatók felfigyeltek olyan esetekre, amikor az AceCryptor rosszindulatú programokat terjesztett, például a STOP ransomware-t és a Vidar-lopót.

A kutatók eltérő eltéréseket figyeltek meg a megcélzott országokban. Míg a SmokeLoader az ukrajnai támadásokban szerepelt, addig Lengyelországban, Szlovákiában, Bulgáriában és Szerbiában a Remcókat érintették.

Ezekben a műveletekben az AceCryptort több európai ország megcélzására használták fel, információk kinyerésére vagy számos vállalat kezdeti hozzáférésére. A rosszindulatú szoftvereket spam e-maileken keresztül terjesztették, amelyek közül néhány nagyon meggyőző volt, és esetenként legitim, de kihasznált e-mail fiókokból származtak.

Az AceCryptor támadások a böngésző hitelesítő adatai után mennek

A legutóbbi művelet célja e-mailek és böngésző hitelesítő adatok beszerzése a megcélzott entitások elleni későbbi támadásokhoz. A rosszindulatú programok többsége kezdeti kompromisszumos vektorként szolgált.

2023 első felében Peru, Mexikó, Egyiptom és Törökország volt az AceCryptorral csomagolt rosszindulatú programok által leginkább érintett országok, a legtöbb támadást Peruban érte el, 4700-at.

2023 második felében a hangsúly az európai nemzetekre helyeződött át, Lengyelországot pedig több mint 26 000 támadás érte. Ukrajnát, Spanyolországot és Szerbiát is több ezer támadás érte.

Az év második felében a Rescoms az AceCryptor által becsomagolt, túlnyomórészt 32 000 példányt számláló rosszindulatú szoftvercsalád lett. A kísérletek több mint felét Lengyelországban regisztrálták, ezt követte Szerbia, Spanyolország, Bulgária és Szlovákia – számoltak be a kutatók.

Ebben az időszakban összesen több mint 26 000 ilyen támadást jegyeztek fel Lengyelországban.

A lengyel vállalkozások elleni támadások hasonló tárgysorokat tartalmaztak egy áldozat cégnek szóló B2B ajánlatokhoz. A hackerek eredeti lengyel cégnevek és meglévő alkalmazottak neveivel igyekeztek legitimitást adni az e-maileknek.

A kutatók bizonytalanságot észleltek azzal kapcsolatban, hogy a hackerek célja, hogy megőrizzék az ellopott hitelesítő adatokat, vagy eladják azokat más fenyegetés szereplőinek.

Míg a kutatók nem tudták pontosan meghatározni a támadási kampányok forrását, a Remcos és a SmokeLoader rendszeresen kapcsolatba került az orosz kormány nevében tevékenykedő hackerekkel.