- V druhej polovici roka 2023 spoločnosť ESET zaznamenala viacero kampaní, ktoré využívali službu AceCryptor na kamuflovanie nástroja na vzdialený prístup (RAT) Rescoms. Kampane boli zamerané na organizácie v európskych krajinách, najmä v Poľsku, Bulharsku, na Slovensku, v Španielsku a Srbsku.
- Aby pôsobili čo najdôveryhodnejšie, útočníci stojaci za týmito kampaňami v niektorých prípadoch zneužili legitímne, no skompromitované účty na odosielanie nevyžiadaných e-mailov.
- Cieľom spamových kampaní bolo získať prihlasovacie údaje uložené v prehliadačoch alebo e-mailových klientoch, ktoré by v prípade úspešnej kompromitácie otvorili možnosti pre ďalšie útoky.
- Na Slovensku produkty spoločnosti ESET zachytili a zablokovali 1 400 pokusov o útok.
Výskumníci spoločnosti ESET zaznamenali dramatický nárast útokov s využitím služby na kamuflovanie a ochranu malvéru AceCryptor, pričom počet detekcií sa medzi prvou a druhou polovicou roka 2023 strojnásobil. Riešenia ESET pred útokom ochránili celosvetovo 42-tisíc používateľov. Okrem toho v posledných mesiacoch ESET zaregistroval nové využitie softvéru AceCryptor pri šírení nástroja Rescoms (známy aj ako Remcos).
Rescoms je nástroj na vzdialený prístup (RAT), ktorý útočníci často používajú na škodlivé účely. AceCryptor je služba, ktorá kamufluje a chráni malvér tak, aby bol ťažšie detekovateľný. Na základe správania sa nasadeného malvéru výskumníci spoločnosti ESET predpokladajú, že cieľom týchto kampaní bolo získať prihlasovacie údaje z e-mailových klientov a prehliadačov pre ďalšie útoky na cieľové spoločnosti. Prevažná väčšina vzoriek Rescoms chránená službou AceCryptor bola použitá ako prvotný vektor kompromitácie vo viacerých spamových kampaniach zameraných na európske krajiny vrátane strednej Európy (Poľsko, Slovensko), Balkánu (Bulharsko, Srbsko) a Španielska.
„V týchto kampaniach bol AceCryptor použitý pri phishingových kampaniach cielených na firmy vo viacerých európskych krajinách na kamuflovanie a ochranu malvéru Rescoms, ktorý dokáže získať citlivé informácie a počiatočný prístup do systémov obetí. Malvér sa pri týchto útokoch šíril prostredníctvom spamových e-mailov, ktoré boli v niektorých prípadoch pomerne presvedčivé. Niekedy bol spam dokonca odoslaný z legitímnych, ale zneužitých e-mailových účtov,“ vysvetľuje výskumník spoločnosti ESET Jakub Kaloč, ktorý objavil túto kampaň. „Keďže otváranie príloh z takýchto e-mailov môže mať pre vás alebo vašu spoločnosť vážne následky, odporúčame vám, aby ste si dávali pozor na to, čo otvárate, a používali spoľahlivý softvér na ochranu koncových zariadení, ktorý dokáže tento malvér odhaliť,“ dodáva.
V prvej polovici roka 2023 boli z hľadiska zachytenia nástroja AceCryptor najviac zasiahnutými krajinami Peru, Mexiko, Egypt a Turecko, pričom najväčší počet útokov zaznamenalo Peru (4 700). Spamové kampane Rescoms tieto štatistiky v druhej polovici roka 2023 výrazne zmenili. Škodlivý softvér využívajúci AceCryptor zacielil najmä na európske krajiny.
Vzorky AceCryptor, ktoré ESET zaznamenal v druhej polovici roka 2023, často skrývali dve malvérové rodiny: Rescoms a SmokeLoader. Vzorky zachytené na Ukrajine obsahovali malvér SmokeLoader. Naopak v Poľsku, na Slovensku, v Bulharsku a Srbsku bola zvýšená aktivita spôsobená AceCryptorom kamuflujúcim malvér Rescoms.
Na Slovensku odhalili a zablokovali ESET produkty približne 1 400 pokusov o útok s využitím AceCryptor. Spamové e-maily nabádali obete z prostredia firiem, aby odosielateľovi zaslali ponuku na základe zoznamu v priloženom dokumente. V prílohe sa v skutočnosti nachádzal škodlivý kód Rescoms kamuflovaný nástrojom AceCryptor. Ak by firma nemala nainštalovaný bezpečnostný softvér, ktorý by spamový e-mail odchytil a používateľ by prílohu otvoril, mohol do firemnej siete vpustiť tento malvér.
Viaceré rozsiahle spamové kampane zaznamenali výskumníci spoločnosti ESET v Poľsku. Útoky pozostávali z e-mailov s veľmi podobnými predmetmi o ponukách zo segmentu B2B. Aby vyzerali čo najdôveryhodnejšie, útočníci si urobili prieskum a pri podpisoch v týchto e-mailoch použili existujúce názvy poľských spoločností a dokonca aj mená a kontaktné údaje existujúcich zamestnancov či vlastníkov. V prípade, že si obeť vygooglila meno odosielateľa, zobrazilo sa vo vyhľadávaní, čo ju mohlo presvedčiť, aby otvorila škodlivú prílohu.
Hoci nie je známe, či útočníci využili ukradnuté prihlasovacie údaje pre vlastné účely, alebo ich predali inej hackerskej skupine, je isté, že úspešné skompromitovanie otvára možnosť pre ďalšie, najmä ransomvérové útoky.
Súbežne s kampaňami na Slovensku a v Poľsku telemetria spoločnosti ESET zaznamenala prebiehajúce kampane aj v Bulharsku a Srbsku. Jediným významným rozdielom bolo to, že jazyk použitý v spamových e-mailoch bol prispôsobený pre dané krajiny. Okrem už spomínaných kampaní sa vyskytla vlna spamových e-mailov s Rescoms aj v Španielsku.
Viac technických informácií nájdete v našom špeciálnom blogu na portáli WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.