Talas infekcija malverom AceCryptor u Evropi, najveći broj napada u Poljskoj i Srbiji

Vesti, 21.03.2024, 09:30 AM

Istraživači kompanije ESET otkrili su hiljade novih infekcija malverom AceCryptor, koje su deo kampanje usmerene protiv određenih zemalja i ciljeva (kompanija u određenim zemljama) u Evropi.

Istraživači ESET-a godinama prate AceCryptor, a za najnoviju kampanju kažu da se razlikuje od prethodnih jer su napadači proširili vrste zlonamernog koda upakovanog u malver.

AceCryptor se obično koristi sa malverom Remcos ili Rescoms, moćnim alatom za daljinski nadzor koji se više puta koristio protiv ciljeva u Ukrajini. Pored Remcosa i još jednog poznatog malvera koji je poznat pod imenom SmokeLoader, istraživači su rekli da da sada AceCryptor distribuira malvere kao što su ransomware STOP i Vidar.

Istraživači su primetili i nekoliko razlika u napadima u zavisnosti od ciljanih zemalja. U napadima u Ukrajini korišćen je SmokeLoader, dok je u napadima u Poljskoj, Slovačkoj, Bugarskoj i Srbiji korišćen Remcos.

„U ovim kampanjama, AceCryptor je korišćen za ciljanje više evropskih zemalja i za dobijanje informacija ili početnog pristupa u više kompanija. Malver u ovim napadima distribuiran je u spam imejlovima, koji su u nekim slučajevima bili prilično ubedljivi; ponekad je spam pošta čak bila poslata sa legitimnih, ali zloupotrebljenih email naloga“, rekao je istraživač ESET-a Jakub Kaloč, koji je otkrio ove napade.

Cilj najnovije kampanje je da se dobiju podaci za prijavljivanje na email naloge i pretraživače za dalje napade na ciljane kompanije, a ESET je rekao da je velika većina uzoraka malvera koje su videli korišćena kao inicijalni vektor kompromisa.

Prema podacima ESET-a, u prvoj polovini 2023. zemlje koje su najviše pogođene malverom AceCryptor bile su Peru, Meksiko, Egipat i Turska.

U drugoj polovini 2023. hakeri su se prebacili na evropske zemlje, ciljajući Poljsku sa više od 26.000 napada, a zatim i Srbiju, Španiju, Bugarsku i Slovačku koje su pretrpele hiljade napada.

U napadima na poljska preduzeća korišćene su teme koje su uključivale B2B ponude za kompanije žrtava. Hakeri su pokušali da mejlovi izgledaju legitimno koristeći imena poljskih kompanija i imena zaposlenih u njima.

U Srbiji, Slovačkoj i Bugarskoj hakeri su uglavnom napadali lokalne kompanije, a jedino po čemu su se razlikovali napadi u ovim zemljama od napada u Poljskoj je, naravno, jezik koji se koristi u spam mejlovima.

ESET je rekao da nije jasno da li hakeri nameravaju da zadrže ukradene kredencijale za sebe ili da ih prodaju drugim napadačima.

Iako ESET nije mogao da identifikuje izvor napada, Remcos i SmokeLoader su više puta koristili hakeri koji rade za rusku vladu.

Foto: Pixabay / Pexels