AceCryptor skadlig användning ökar i Europa
Tusentals nya infektioner kopplade till AceCryptor-verktyget – som gör det möjligt för hackare att dölja skadlig programvara och infiltrera system oupptäckta av antivirusprogramvara – har avslöjats i en samlad insats riktad mot organisationer över hela Europa.
Forskare har ägnat år åt att övervaka AceCryptor. De avslöjade på onsdagen att den senaste kampanjen skiljde sig från tidigare då angripare breddat utbudet av skadlig kod inkapslad däri.
Traditionellt åtföljer AceCryptor skadlig programvara som Remcos eller Rescoms – kraftfulla fjärrövervakningsverktyg som ofta används mot organisationer i Ukraina. Vid sidan av Remcos och ett annat känt verktyg, SmokeLoader, noterade forskare fall där AceCryptor distribuerade skadlig programvara som STOP ransomware och Vidar stealer.
Forskare observerade tydliga variationer i de länder som de riktade sig till. Medan SmokeLoader var med i attacker i Ukraina, involverade incidenter i Polen, Slovakien, Bulgarien och Serbien Remcos.
I dessa operationer användes AceCryptor för att rikta in sig på flera europeiska länder, extrahera information eller få initial tillgång till många företag. Skadlig programvara spreds via spam-e-postmeddelanden, av vilka några var mycket övertygande, och ibland härrörde från legitima men utnyttjade e-postkonton.
AceCryptor-attacker går efter webbläsaruppgifter
Den senaste operationen syftar till att skaffa e-post- och webbläsaruppgifter för efterföljande övergrepp mot de riktade enheterna. Majoriteten av skadlig programvara fungerade som en initial kompromissvektor.
Under första halvåret 2023 var de länder som drabbades mest av AceCryptor-packade skadliga program Peru, Mexiko, Egypten och Turkiet, där Peru utstod det högsta antalet attacker med 4 700.
Under senare hälften av 2023 flyttades fokus till europeiska länder, med Polen som måltavla för över 26 000 attacker. Ukraina, Spanien och Serbien upplevde också tusentals attacker.
Under det senare halvåret uppstod Rescoms som den dominerande skadliga programfamiljen packad av AceCryptor och stod för över 32 000 instanser. Polen registrerade över hälften av dessa försök, följt av Serbien, Spanien, Bulgarien och Slovakien, rapporterade forskarna.
Totalt registrerades över 26 000 av dessa attacker i Polen under denna period.
Attacker mot polska företag innehöll liknande ämnesrader relaterade till B2B-erbjudanden för ett offerföretag. Hackare försökte ge legitimitet till e-postmeddelanden genom att använda äkta polska företagsnamn och befintliga anställdas namn.
Forskare noterade osäkerhet om huruvida hackarna strävar efter att behålla stulna referenser för deras användning eller sälja dem till andra hotaktörer.
Även om forskare inte kunde fastställa källan till attackkampanjerna, har Remcos och SmokeLoader återkommande associerats med hackare som verkar på uppdrag av den ryska regeringen.