ESET Research: AceCryptor-aanvallen met Rescoms-tool richten zich op Europa
“In deze campagnes richtte AceCryptor zich op meerdere Europese landen om informatie te extraheren of initiële toegang te krijgen tot meerdere bedrijven. Bij deze aanvallen werd malware verspreid in spam-mails, die soms behoorlijk overtuigend waren. De spam werd zelfs verzonden vanaf legitieme, maar misbruikte e-mailaccounts”, zegt Jakub Kaloč, de ESET-onderzoeker die de nieuwste AceCryptor met Rescoms-campagne ontdekte. “Het openen van bijlagen van deze e-mails kan ernstige gevolgen hebben voor u of uw bedrijf. Wij raden u aan attent te zijn op wat u opent en betrouwbare endpoint-beveiligingssoftware te gebruiken die deze malware kan detecteren”, verduidelijkt hij.
In de eerste helft van 2023 waren Peru, Mexico, Egypte en Turkije de landen die het meest getroffen werden door malware verpakt door AceCryptor. Peru kende met 4.700 het grootste aantal aanvallen. De spamcampagnes via Rescoms veranderden deze statistieken dramatisch in de tweede helft van het jaar. Malware met AceCryptor trof vooral Europese landen.
Alle campagnes gericht op Poolse bedrijven bevatten e-mails met vergelijkbare onderwerpen over B2B-aanbiedingen. Om er zo geloofwaardig mogelijk uit te zien, voerden de aanvallers een onderzoek uit en gebruikten ze in de handtekening van hun e-mails bestaande Poolse bedrijfsnamen en zelfs namen van werknemers/eigenaars en hun contactgegevens. Mocht een slachtoffer de naam van de afzender googelen dan moest de zoekopdracht succesvol zijn, zodat het slachtoffer de kwaadaardige bijlage zeker zou openen.
Het is niet bekend of de inloggegevens verzameld zijn voor de groep die deze aanvallen uitvoerde en of deze gestolen inloggegevens later aan andere bedreigingsactoren werden verkocht. Wat zeker is, is dat succesvolle compromissen de mogelijkheid bieden voor verdere aanvallen, vooral met ransomware.
Lees, voor meer technische informatie, de blog over de AceCryptor- en Rescoms RAT-campagne: “Rescoms rides waves of AceCryptor spam op https://www.welivesecurity.com
Dit artikel werd geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.