- Au cours du second semestre 2023, ESET a détecté plusieurs campagnes « AceCryptor » reposant sur l'outil d'accès à distance (RAT) Rescoms.
- Ces campagnes ciblent des pays européens, principalement la Pologne, la Bulgarie, la Slovaquie, l’Espagne et la Serbie.
- Dans certains cas, les acteurs malveillants ont utilisé des comptes compromis pour envoyer des messages d’hameçonnage (afin de les rendre aussi crédibles que possible).
- L'objectif des campagnes de messages était d'obtenir des informations d'identification stockées dans des navigateurs ou des comptes mails. En cas de compromission réussie, ces informations ouvriraient la voie à d'autres attaques.
AceCryptor est un logiciel de chiffrement, malveillant, disponible sur demande et payant à l’usage. Celui-ci obscurcit d’autres logiciels malveillants pour limiter leur détection. ESET Research a enregistré une augmentation spectaculaire des attaques AceCryptoror, leurs détections ayant triplé entre le premier et le second semestre 2023. De plus, au cours des derniers mois, ESET a enregistré un changement significatif de l’usage d’AceCryptor, celui-ci est maintenant associé à Rescoms (ou Remcos). Rescoms est un outil d'accès à distance (RAT) populaire chez les cybercriminels. Sur la base du comportement des logiciels malveillants déployés, les chercheurs d'ESET supposent que l'objectif de ces campagnes est d'obtenir des informations d'identification de messagerie et de navigateur, l’objectif final étant de mener des attaques contre les entreprises ciblées. La grande majorité des échantillons RAT Rescoms obscurcit par AceKror ont été utilisés comme vecteur de compromission initial dans de multiples campagnes de spam ciblant des pays européens, notamment l'Europe centrale (Pologne, Slovaquie), les Balkans (Bulgarie, Serbie) et l'Espagne.
« Dans ces campagnes, AceCryptor a été utilisé pour cibler plusieurs pays européens et pour extraire des informations ou obtenir un accès initial à plusieurs entreprises. Les logiciels malveillants utilisés pour ces attaques ont été distribués dans des spams, qui étaient dans certains cas très convaincants ; parfois, le spam était même envoyé à partir de comptes de messagerie légitimes, mais compromis », explique Jakub Kaloč, chercheur chez ESET, qui a découvert la dernière campagne AceCryptor avec Rescoms. « Étant donné que l'ouverture des pièces jointes de ces e-mails peut avoir de graves conséquences pour vous ou votre entreprise, nous vous conseillons d'être conscient de ce que vous ouvrez et d'utiliser un logiciel de sécurité fiable capable de détecter ce logiciel malveillant », ajoute-t-il.
Au cours du premier semestre 2023, les pays les plus touchés par les logiciels malveillants AceCryptor étaient le Pérou, le Mexique, l'Egypte et la Türkiye. Le Pérou, avec 4 700, enregistrant le plus grand nombre d'attaques. Les campagnes de spam de Rescoms ont considérablement modifié ces statistiques au cours du second semestre de l'année. Les logiciels malveillants obscurcis avec AceKror ont touché principalement les pays européens.
Les échantillons AceCryptor que nous avons observés au cours du second semestre 2023 contenaient souvent deux familles de logiciels malveillants comme charge utile : Rescoms et SmokeLoader. Un pic dans les statistiques a été causé par SmokeLoader en Ukraine et d'autre part, en Pologne, en Slovaquie, en Bulgarie et en Serbie, on note une augmentation d'activité causée par AceCryptor et Rescoms comme charge utile finale.
Toutes les campagnes de spam ciblant les entreprises en Pologne comportaient des e-mails avec des objets très similaires. Elles concernaient des offres B2B pour les entreprises victimes. Pour avoir l'air aussi crédible que possible, les attaquants ont effectué des recherches et ont utilisé des noms d'entreprises polonaises existantes et même des noms d'employés/propriétaires existants, et des coordonnées réelles en signature de ces e-mails. Cela a été fait pour que dans le cas où une victime rechercherait le nom de l'expéditeur sur Google, la recherche aussi véridique que possible, amènerait la victime à ouvrir la pièce jointe malveillante.
A ce stade, il n’est pas possible de déterminer si les informations d'identification ont été collectées pour le groupe qui a mené ces attaques. Ni si les informations volées furent ensuite vendues à d'autres acteurs de la menace. Toutefois, il est certain qu'une compromission réussie ouvre la possibilité d'autres attaques, en particulier à des attaques de ransomware.
Parallèlement aux campagnes en Pologne, la télémétrie ESET a également enregistré des campagnes en Slovaquie, en Bulgarie et en Serbie. La seule différence significative est la langue utilisée pour correspondre à celle du pays visé. Outre les campagnes mentionnées précédemment, l'Espagne a également connu une recrudescence des spams avec Rescoms comme charge utile finale.
Carte des pays touchés par AceCryptor, selon la télémétrie ESET
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.