Aumento do uso de malware AceCryptor na Europa

Milhares de novas infecções ligadas à ferramenta AceCryptor – que permite aos hackers ocultar malware e infiltrar-se em sistemas sem serem detectados pelo software antivírus – foram descobertas num esforço concertado visando organizações em toda a Europa.

Os pesquisadores dedicaram anos ao monitoramento do AceCryptor. Eles revelaram na quarta-feira que a campanha recente diferia das anteriores, pois os invasores ampliaram a gama de códigos maliciosos encapsulados nela.

Tradicionalmente, o AceCryptor acompanha malware como Remcos ou Rescoms – potentes ferramentas de vigilância remota frequentemente utilizadas contra organizações na Ucrânia. Juntamente com o Remcos e outra ferramenta conhecida, o SmokeLoader, os pesquisadores observaram casos em que o AceCryptor distribuiu malware como o ransomware STOP e o ladrão Vidar.

Os investigadores observaram variações distintas nos países visados. Embora o SmokeLoader tenha participado de ataques na Ucrânia, incidentes na Polônia, Eslováquia, Bulgária e Sérvia envolveram Remcos.

Nestas operações, o AceCryptor foi utilizado para atingir vários países europeus, extraindo informações ou obtendo acesso inicial a inúmeras empresas. O software malicioso foi disseminado através de e-mails de spam, alguns dos quais eram altamente convincentes, ocasionalmente provenientes de contas de e-mail legítimas, mas exploradas.

Os ataques do AceCryptor vão atrás das credenciais do navegador

A operação recente visa adquirir credenciais de e-mail e navegador para ataques subsequentes contra as entidades visadas. A maioria das amostras de malware serviu como vetor de comprometimento inicial.

No primeiro semestre de 2023, os países mais impactados pelo malware repleto de AceCryptor foram Peru, México, Egito e Turquia, com o Peru sofrendo o maior número de ataques, 4.700.

Na segunda metade de 2023, o foco mudou para as nações europeias, com a Polónia a ser alvo de mais de 26.000 ataques. Ucrânia, Espanha e Sérvia também sofreram milhares de ataques.

Durante a segunda metade do ano, o Rescoms emergiu como a família de malware predominante empacotada pelo AceCryptor, respondendo por mais de 32.000 instâncias. A Polónia registou mais de metade destas tentativas, seguida pela Sérvia, Espanha, Bulgária e Eslováquia, relataram os investigadores.

No total, mais de 26.000 destes ataques na Polónia foram registados durante este período.

Os ataques a empresas polacas apresentavam assuntos semelhantes relacionados com ofertas B2B para uma empresa vítima. Os hackers tentaram dar legitimidade aos e-mails, utilizando nomes genuínos de empresas polacas e nomes de funcionários existentes.

Os pesquisadores observaram incerteza sobre se os hackers pretendem reter credenciais roubadas para seu uso ou vendê-las a outros atores de ameaças.

Embora os pesquisadores não tenham conseguido identificar a origem das campanhas de ataque, Remcos e SmokeLoader têm sido recorrentemente associados a hackers que operam em nome do governo russo.