AceCryptor 恶意软件在欧洲的使用激增

在针对欧洲各地组织的共同努力中，发现了与 AceCryptor 工具相关的数千个新感染事件，该工具使黑客能够隐藏恶意软件并渗透到防病毒软件未检测到的系统中。

研究人员多年来致力于监控 AceCryptor。他们周三透露，最近的攻击活动与之前的攻击活动不同，攻击者扩大了封装的恶意代码范围。

传统上，AceCryptor 伴随着 Remcos 或 Rescoms 等恶意软件——经常用于针对乌克兰组织的强大远程监控工具。除了 Remcos 和另一个已知工具 SmokeLoader 之外，研究人员还注意到 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件的实例。

研究人员观察到目标国家存在明显差异。虽然 SmokeLoader 参与了乌克兰的攻击，但波兰、斯洛伐克、保加利亚和塞尔维亚的事件也涉及 Remcos。

在这些行动中，AceCryptor 被用来针对多个欧洲国家，提取信息或获得对众多公司的初步访问权限。恶意软件通过垃圾邮件传播，其中一些邮件非常可信，有时来自合法但已被利用的电子邮件帐户。

AceCryptor 攻击针对浏览器凭据

最近的行动旨在获取电子邮件和浏览器凭据，以便随后对目标实体进行攻击。大多数恶意软件样本都是最初的妥协媒介。

2023 年上半年，受 AceCryptor 恶意软件影响最严重的国家是秘鲁、墨西哥、埃及和土耳其，其中秘鲁遭受的攻击数量最多，达到 4,700 起。

2023 年下半年，焦点转移到欧洲国家，其中波兰遭受了超过 26,000 次攻击。乌克兰、西班牙和塞尔维亚也遭受了数千起袭击。

今年下半年，Rescoms 成为 AceCryptor 打包的主要恶意软件家族，实例数量超过 32,000 个。研究人员报告说，波兰记录了一半以上的尝试，其次是塞尔维亚、西班牙、保加利亚和斯洛伐克。

在此期间，波兰总共记录了超过 26,000 起此类袭击。

对波兰企业的攻击具有与受害公司 B2B 优惠相关的类似主题行。黑客试图利用真实的波兰公司名称和现有员工姓名来使电子邮件具有合法性。

研究人员指出，黑客的目的是保留被盗凭证供其使用还是将其出售给其他威胁行为者，这一点存在不确定性。

虽然研究人员无法查明攻击活动的来源，但 Remcos 和 SmokeLoader 经常与代表俄罗斯政府运作的黑客有联系。