Logiciel malveillant AceCryptor

De nombreux nouveaux cas d’infection liés à l’outil AceCryptor sont apparus, indiquant une tendance inquiétante. Cet outil, privilégié par les pirates informatiques pour sa capacité à camoufler les logiciels malveillants et à infiltrer les systèmes sans être détecté par les défenses anti-malware classiques, a été utilisé dans le cadre d'une campagne destinée aux organisations dans toute l'Europe. Les chercheurs qui surveillent les activités d'AceCryptor depuis des années observent un changement distinctif dans cette récente campagne. Contrairement aux cas précédents, les attaquants ont élargi la gamme de codes falsifiés regroupés dans leurs exploits, posant ainsi des menaces accrues pour les entités ciblées.

AceCryptor est utilisé pour diffuser des menaces nuisibles à un stade avancé

AceCryptor est généralement associé à des logiciels malveillants tels que Remcos ou Rescoms , qui constituent de puissants outils de surveillance à distance fréquemment utilisés dans les attaques contre des organisations en Ukraine. Aux côtés de Remcos et du célèbre SmokeLoader, les chercheurs ont désormais observé qu'AceCryptor diffusait d'autres souches de logiciels malveillants, notamment des variantes du STOP/Djvu Ransomware et du Vidar Stealer .

De plus, les chercheurs ont noté des tendances distinctes dans les pays ciblés. Alors que SmokeLoader a été impliqué dans des attaques en Ukraine, des incidents en Pologne, en Slovaquie, en Bulgarie et en Serbie ont impliqué l'utilisation de Remcos.

Dans le cadre de campagnes méticuleusement orchestrées, AceCryptor a été exploité pour cibler plusieurs pays européens, dans le but d'extraire des informations sensibles ou d'établir un accès initial à diverses entreprises. La distribution des logiciels malveillants dans ces attaques s'est souvent produite via des courriers indésirables, dont certains étaient remarquablement convaincants ; Parfois, des comptes de messagerie légitimes étaient piratés et utilisés à mauvais escient pour envoyer ces messages trompeurs.

L'objectif principal de la dernière opération est d'acquérir des identifiants de messagerie et de navigateur destinés à de nouvelles attaques contre les entreprises ciblées. Notamment, la majorité des incidents AceCryptor enregistrés ont servi de point initial de compromission dans ces attaques.

Les cibles d'AceCryptor ont changé tout au long de 2023

Au cours des six mois de 2023, les pays les plus touchés par les logiciels malveillants fournis par AceCryptor ont été le Pérou, le Mexique, l'Égypte et la Turquie, le Pérou ayant été le plus touché par 4 700 attaques. Cependant, dans la seconde moitié de l'année, les pirates ont réorienté leur attention vers les pays européens, en particulier la Pologne, qui a subi plus de 26 000 attaques. L’Ukraine, l’Espagne et la Serbie ont également été victimes de milliers d’attaques.

Au cours du second semestre, Rescoms est devenu la principale famille de logiciels malveillants distribués via AceCryptor, avec plus de 32 000 incidents. La Pologne représentait plus de la moitié de ces événements, suivie par la Serbie, l'Espagne, la Bulgarie et la Slovaquie.

Les attaques ciblant des entreprises polonaises partageaient des thèmes similaires, se faisant souvent passer pour des offres B2B pertinentes pour les entreprises victimes. Les pirates ont utilisé de véritables noms d’entreprises polonaises et des identités d’employés existants dans leurs e-mails pour donner de la crédibilité. Les motivations de ces attaques restent ambiguës ; il n'est pas certain que les pirates cherchent à exploiter les informations d'identification volées à des fins personnelles ou à les vendre à d'autres acteurs malveillants.

À l’heure actuelle, les preuves disponibles ne permettent pas d’attribuer définitivement les campagnes d’attaque à une source spécifique. Cependant, il convient de noter que des pirates informatiques affiliés au gouvernement russe ont utilisé de manière récurrente Remcos et SmokeLoader dans leurs opérations.