Software malicioso AceCryptor

Han surgido numerosos nuevos casos de infección relacionados con la herramienta AceCryptor, lo que indica una tendencia preocupante. Esta herramienta, preferida por los piratas informáticos por su capacidad para camuflar malware e infiltrarse en sistemas sin ser detectada por las defensas antimalware convencionales, se ha utilizado en una campaña dirigida a organizaciones de toda Europa. Los investigadores que han monitoreado las actividades de AceCryptor durante años observan un cambio distintivo en esta reciente campaña. A diferencia de casos anteriores, los atacantes han ampliado la gama de códigos manipulados incluidos en sus exploits, lo que plantea mayores amenazas a las entidades objetivo.

AceCryptor se utiliza para la entrega de amenazas dañinas en etapa avanzada

AceCryptor suele combinarse con malware como Remcos o Rescoms , que sirven como potentes herramientas de vigilancia remota empleadas frecuentemente en ataques contra organizaciones en Ucrania. Además de Remcos y el conocido SmokeLoader, los investigadores han observado que AceCryptor difunde otras cepas de malware, incluidas variantes de STOP/Djvu Ransomware y Vidar Stealer .

Además, los investigadores han notado patrones distintos en los países objetivo. Si bien SmokeLoader estuvo involucrado en ataques en Ucrania, los incidentes en Polonia, Eslovaquia, Bulgaria y Serbia incluyeron el uso de Remcos.

En campañas meticulosamente orquestadas, AceCryptor se ha aprovechado para apuntar a múltiples países europeos, con el objetivo de extraer información confidencial o establecer acceso inicial a varias empresas. La distribución de malware en estos ataques se produjo a menudo a través de correos electrónicos no deseados, algunos de los cuales eran notablemente convincentes; En ocasiones, se secuestraron y abusaron de cuentas de correo electrónico legítimas para enviar estos mensajes engañosos.

El objetivo principal de la última operación es adquirir credenciales de correo electrónico y navegador destinadas a futuros ataques contra las empresas objetivo. En particular, la mayoría de los incidentes registrados con AceCryptor han servido como punto inicial de compromiso en estos ataques.

Los objetivos de AceCryptor han cambiado a lo largo de 2023

En los seis meses de 2023, los países principalmente afectados por el malware empaquetado con AceCryptor fueron Perú, México, Egipto y Turquía, siendo Perú el más afectado por 4.700 ataques. Sin embargo, en un cambio notable durante la segunda mitad del año, los piratas informáticos redirigieron su atención hacia las naciones europeas, en particular Polonia, que sufrió más de 26.000 ataques. Ucrania, España y Serbia también fueron objeto de miles de ataques.

Durante la segunda mitad del año, Rescoms surgió como la familia de malware predominante distribuida a través de AceCryptor, con más de 32.000 incidentes. Polonia representó más de la mitad de estos sucesos, seguida de Serbia, España, Bulgaria y Eslovaquia.

Los ataques dirigidos a empresas polacas compartían líneas de asunto similares, a menudo disfrazadas de ofertas B2B relevantes para las empresas victimizadas. Los piratas informáticos utilizaron nombres auténticos de empresas polacas e identidades de empleados existentes en sus correos electrónicos para dar credibilidad. Los motivos detrás de estos ataques siguen siendo ambiguos; No está claro si los piratas informáticos pretenden explotar las credenciales robadas para uso personal o venderlas a otros actores de amenazas.

Actualmente, las pruebas disponibles no logran atribuir definitivamente las campañas de ataque a una fuente específica. Sin embargo, vale la pena señalar que los piratas informáticos afiliados al gobierno ruso han empleado recurrentemente Remcos y SmokeLoader en sus operaciones.