В Европе растет использование вредоносного ПО AceCryptor

Тысячи новых заражений, связанных с инструментом AceCryptor, который позволяет хакерам скрывать вредоносное ПО и проникать в системы незамеченными антивирусным программным обеспечением, были обнаружены в результате согласованных усилий, направленных на организации по всей Европе.

Исследователи посвятили годы мониторингу AceCryptor. В среду они сообщили, что недавняя кампания отличалась от предыдущих, поскольку злоумышленники расширили массив инкапсулированного внутри вредоносного кода.

Традиционно AceCryptor сопровождает такие вредоносные программы, как Remcos или Rescoms — мощные инструменты удаленного наблюдения, часто используемые против организаций в Украине. Помимо Remcos и другого известного инструмента, SmokeLoader, исследователи отметили случаи, когда AceCryptor распространял вредоносное ПО, такое как программа-вымогатель STOP и программа-стилер Vidar.

Исследователи наблюдали явные различия в целевых странах. В то время как SmokeLoader фигурировал в атаках на Украине, инциденты в Польше, Словакии, Болгарии и Сербии касались Remcos.

В ходе этих операций AceCryptor использовался для нападения на несколько европейских стран, для извлечения информации или получения первоначального доступа к многочисленным компаниям. Вредоносное программное обеспечение распространялось через спам-сообщения, некоторые из которых были весьма убедительными и иногда исходили от законных, но эксплуатируемых учетных записей электронной почты.

Атаки AceCryptor направлены на учетные данные браузера

Целью недавней операции является получение учетных данных электронной почты и браузера для последующих атак на целевые организации. Большинство образцов вредоносного ПО послужили первоначальным вектором компрометации.

В первой половине 2023 года странами, наиболее пострадавшими от вредоносного ПО, упакованного AceCryptor, были Перу, Мексика, Египет и Турция, причем Перу пережило наибольшее количество атак — 4700.

Во второй половине 2023 года акцент сместился на европейские страны: на Польшу было совершено более 26 000 атак. Украина, Испания и Сербия также подверглись тысячам атак.

Во второй половине года Rescoms стал преобладающим семейством вредоносных программ, упакованных AceCryptor, насчитывая более 32 000 экземпляров. По данным исследователей, в Польше зарегистрировано более половины таких попыток, за ней следуют Сербия, Испания, Болгария и Словакия.

Всего за этот период в Польше было зафиксировано более 26 000 таких нападений.

Атаки на польские предприятия имели схожую тематику, связанную с предложениями B2B для компании-жертвы. Хакеры попытались придать легитимность электронным письмам, используя подлинные названия польских компаний и имена существующих сотрудников.

Исследователи отметили неопределенность относительно того, стремятся ли хакеры сохранить украденные учетные данные для дальнейшего использования или продать их другим злоумышленникам.

Хотя исследователи не смогли определить источник атак, Remcos и SmokeLoader неоднократно ассоциировались с хакерами, действующими от имени российского правительства.