A ESET registou um aumento dramático nos ataques do AceCryptor, com as deteções a triplicar entre o primeiro e o segundo semestre de 2023, correlacionando com a proteção de 42.000 utilizadores da ESET em todo o mundo. Além disso, nos últimos meses, a ESET registou uma mudança significativa na forma como o AceCryptor é utilizado: os cibercriminosos que espalham o Rescoms começaram a utilizar o AceCryptor, o que não acontecia anteriormente.
O Rescoms é uma ferramenta de acesso remoto (RAT) que é frequentemente utilizada por cibercriminosos para fins maliciosos; o AceCryptor é um cryptor-as-a-service que ofusca o malware para dificultar a sua deteção. Com base no comportamento do malware implementado, os investigadores da ESET assumem que o objetivo destas campanhas seria obter credenciais de email e de browser para futuros ataques contra as empresas visadas. A grande maioria das amostras do Rescoms com AceCryptor foi utilizada como vetor de compromisso inicial em várias campanhas de spam dirigidas a países europeus, incluindo Espanha, Europa Central (Polónia, Eslováquia) e os Balcãs (Bulgária, Sérvia).
“Nestas campanhas, o AceCryptor foi usado para atingir vários países europeus e para extrair informações ou obter acesso inicial a várias empresas. O malware nestes ataques foi distribuído em emails de spam, que em alguns casos eram bastante convincentes; às vezes, o spam era até mesmo enviado a partir de contas de email legítimas hackeadas”, disse o investigador da ESET Jakub Kaloč, que descobriu a última campanha do AceCryptor com Rescoms. “Como abrir anexos de tais emails pode ter consequências graves tanto para utilizadores como empresas, recomendamos que esteja ciente do que está a abrir e use um software de segurança confiável capaz de detetar este malware”, acrescentou.
Na primeira metade de 2023, os países mais afetados por malware ofuscado pelo AceCryptor foram o Peru, o México, o Egipto e a Turquia, sendo que o Peru, com 4.700, teve o maior número de ataques. As campanhas de spam da Rescoms alteraram drasticamente estas estatísticas na segunda metade do ano: neste período, o malware com AceCryptor afetou sobretudo países europeus.
As amostras do AceCryptor que a ESET observou na segunda metade de 2023 continham frequentemente duas famílias de malware como payload: Rescoms e SmokeLoader. Um pico detetado na Ucrânia foi causado pelo SmokeLoader. Por outro lado, na Polónia, Eslováquia, Bulgária e Sérvia, o aumento da atividade foi causado pelo AceCryptor contendo Rescoms como payload final.
Todas as campanhas de spam que visavam empresas na Polónia tinham emails com linhas de assunto muito semelhantes sobre ofertas B2B para as vítimas. Para parecerem o mais credíveis possível, os atacantes fizeram a sua pesquisa e utilizaram nomes de empresas polacas existentes e até nomes de empregados/proprietários e informações de contacto reais ao assinarem esses emails. Isto foi feito para que, no caso de uma vítima pesquisar o nome do remetente no Google, a pesquisa fosse bem-sucedida, o que poderia levar a vítima a abrir o anexo malicioso.
Embora não se saiba se as credenciais foram recolhidas para o grupo que levou a cabo estes ataques ou se essas credenciais roubadas seriam posteriormente vendidas a outros cibercriminosos, é certo que uma campanha de malware bem-sucedida abre a possibilidade de novos ataques, especialmente ataques de ransomware.
Em paralelo com as campanhas na Polónia, a telemetria da ESET também registou campanhas em curso na Eslováquia, Bulgária e Sérvia. A única diferença significativa foi o idioma utilizado nos emails de spam para esses países específicos. Além das campanhas mencionadas anteriormente, a Espanha também experienciou um aumento de emails de spam com Rescoms como payload final.