Aumento dell’uso di malware AceCryptor in Europa

Migliaia di nuove infezioni legate allo strumento AceCryptor, che consente agli hacker di nascondere malware e infiltrarsi nei sistemi senza essere rilevati dai software antivirus, sono state scoperte in uno sforzo concertato rivolto alle organizzazioni di tutta Europa.

I ricercatori hanno dedicato anni al monitoraggio di AceCryptor. Mercoledì hanno rivelato che la recente campagna è stata diversa dalle precedenti poiché gli aggressori hanno ampliato la gamma di codici dannosi incapsulati al suo interno.

Tradizionalmente, AceCryptor accompagna malware come Remcos o Rescoms, potenti strumenti di sorveglianza remota spesso utilizzati contro le organizzazioni in Ucraina. Oltre a Remcos e a un altro strumento noto, SmokeLoader, i ricercatori hanno notato casi in cui AceCryptor distribuiva malware come il ransomware STOP e il ladro Vidar.

I ricercatori hanno osservato variazioni distinte nei paesi presi di mira. Mentre SmokeLoader è stato protagonista di attacchi in Ucraina, incidenti in Polonia, Slovacchia, Bulgaria e Serbia hanno coinvolto Remcos.

In queste operazioni, AceCryptor è stato utilizzato per prendere di mira più paesi europei, estraendo informazioni o ottenendo l'accesso iniziale a numerose aziende. Il software dannoso veniva diffuso tramite e-mail di spam, alcune delle quali altamente convincenti, a volte provenienti da account e-mail legittimi ma sfruttati.

Gli attacchi AceCryptor colpiscono le credenziali del browser

La recente operazione mira ad acquisire credenziali di posta elettronica e del browser per successivi attacchi contro le entità prese di mira. La maggior parte dei campioni di malware è servita come vettore di compromissione iniziale.

Nella prima metà del 2023, i paesi più colpiti dal malware ricco di AceCryptor sono stati Perù, Messico, Egitto e Turchia, con il Perù che ha subito il maggior numero di attacchi con 4.700.

Nella seconda metà del 2023, l’attenzione si è spostata sulle nazioni europee, con la Polonia presa di mira da oltre 26.000 attacchi. Anche Ucraina, Spagna e Serbia hanno subito migliaia di attacchi.

Durante la seconda metà dell'anno, Rescoms è emersa come la famiglia di malware predominante confezionata da AceCryptor, con oltre 32.000 istanze. La Polonia ha registrato oltre la metà di questi tentativi, seguita da Serbia, Spagna, Bulgaria e Slovacchia, hanno riferito i ricercatori.

In totale in questo periodo sono stati registrati oltre 26.000 attacchi di questo tipo in Polonia.

Gli attacchi contro le imprese polacche presentavano argomenti simili relativi alle offerte B2B per un'azienda vittima. Gli hacker hanno cercato di conferire legittimità alle e-mail utilizzando nomi di società polacche autentiche e nomi di dipendenti esistenti.

I ricercatori hanno notato incertezza riguardo al fatto se gli hacker mirino a conservare le credenziali rubate per il loro utilizzo o a venderle ad altri autori di minacce.

Anche se i ricercatori non sono riusciti a individuare la fonte delle campagne di attacco, Remcos e SmokeLoader sono stati spesso associati ad hacker che operavano per conto del governo russo.