Wire

ESET Research: AceCryptor-aanvallen met Rescoms-tool richten zich op Europa

© ESET
ESET Research registreerde een grote toename van AceCryptor-aanvallen. Tussen de eerste en tweede helft van 2023 zijn ze verdrievoudigd, wat overeenkomt met de bescherming van 42.000 ESET-gebruikers wereldwijd. ESET zag tijdens de afgelopen maanden ook een grote verandering in het gebruik van AceCryptor. De aanvallers die Rescoms (ook bekend als Remcos) verspreidden, gebruikten ook AceCryptor, wat vroeger niet het geval was. Rescoms is een tool voor externe toegang (RAT) vaak door bedreigingsactoren gebruikt voor kwaadaardige doeleinden. AceCryptor is een cryptor-as-a-service die de detectie van malware belemmert. Volgens de gebruikte malware denken ESET-onderzoekers dat deze campagnes bedoeld waren om e-mail- en browsergegevens te verkrijgen voor verdere aanvallen op bepaalde bedrijven. De meerderheid van de met AceCryptor gevulde Rescoms RAT-stalen werden gebruikt als een eerste compromisvector in campagnes gericht op Europese landen, waaronder Spanje, Polen, Slowakije, Bulgarije en Servië.

“In deze campagnes richtte AceCryptor zich op meerdere Europese landen om informatie te extraheren of initiële toegang te krijgen tot meerdere bedrijven. Bij deze aanvallen werd malware verspreid in spam-mails, die soms behoorlijk overtuigend waren. De spam werd zelfs verzonden vanaf legitieme, maar misbruikte e-mailaccounts”, zegt Jakub Kaloč, de ESET-onderzoeker die de nieuwste AceCryptor met Rescoms-campagne ontdekte. “Het openen van bijlagen van deze e-mails kan ernstige gevolgen hebben voor u of uw bedrijf. Wij raden u aan attent te zijn op wat u opent en betrouwbare endpoint-beveiligingssoftware te gebruiken die deze malware kan detecteren”, verduidelijkt hij.

In de eerste helft van 2023 waren Peru, Mexico, Egypte en Turkije de landen die het meest getroffen werden door malware verpakt door AceCryptor. Peru kende met 4.700 het grootste aantal aanvallen. De spamcampagnes via Rescoms veranderden deze statistieken dramatisch in de tweede helft van het jaar. Malware met AceCryptor trof vooral Europese landen.

Alle campagnes gericht op Poolse bedrijven bevatten e-mails met vergelijkbare onderwerpen over B2B-aanbiedingen. Om er zo geloofwaardig mogelijk uit te zien, voerden de aanvallers een onderzoek uit en gebruikten ze in de handtekening van hun e-mails bestaande Poolse bedrijfsnamen en zelfs namen van werknemers/eigenaars en hun contactgegevens. Mocht een slachtoffer de naam van de afzender googelen dan moest de zoekopdracht succesvol zijn, zodat het slachtoffer de kwaadaardige bijlage zeker zou openen.

Het is niet bekend of de inloggegevens verzameld zijn voor de groep die deze aanvallen uitvoerde en of deze gestolen inloggegevens later aan andere bedreigingsactoren werden verkocht. Wat zeker is, is dat succesvolle compromissen de mogelijkheid bieden voor verdere aanvallen, vooral met ransomware.

Map van landen getroffen door AceCryptor, volgens de ESET-telemetrie © ESET

Lees, voor meer technische informatie, de blog over de AceCryptor- en Rescoms RAT-campagne: “Rescoms rides waves of AceCryptor spam op https://www.welivesecurity.com  


Dit artikel werd geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.

esetpartnerinfo

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600