· Au second semestre de 2023, ESET a détecté des campagnes AceCryptor
utilisant Rescoms, outil d'accès à distance (RAT), principalement en Europe - Pologne,
Bulgarie, Slovaquie, Espagne et Serbie.
· L'auteur de ces campagnes a, dans certains cas, utilisé des comptes
compromis pour envoyer des courriers indésirables afin de les rendre aussi
crédibles que possible.
· L'objectif de ces campagnes était d'obtenir des informations stockées dans
les navigateurs ou les clients de messageries. En cas de compromission réussie
cela ouvrirait la voie à d'autres attaques.
BRATISLAVA, le 20 mars 2024 — ESET Research a enregistré une
augmentation spectaculaire des attaques d’AceCryptor. Les détections ont triplé
entre le premier et le second semestre 2023, ce qui correspond à la protection
de 42 000 utilisateurs d'ESET dans le monde. Ces derniers mois, ESET a
enregistré un changement significatif dans la façon dont AceCryptor est utilisé.
Les attaquants diffusant Rescoms (aussi connu sous le nom de Remcos) ont
commencé à utiliser AceCryptor, ce qui n'était pas le cas précédemment. Rescoms
est un outil d'accès à distance (RAT) souvent utilisé à des fins malveillantes.
AceCryptor est un cryptor-as-a-service qui masque les maliciels pour empêcher
leur détection. Sur base du comportement de ces maliciels, les chercheurs
d'ESET supposent que l'objectif de ces campagnes est l’obtention d’informations
d'identification de messagerie et de navigateur pour de nouvelles attaques
contre les entreprises ciblées. La majorité des échantillons Rescoms RAT
contenant AceCryptor étaient utilisés comme vecteur de compromission initial
dans plusieurs campagnes ciblant les pays européens, notamment l'Espagne, la Pologne,
la Slovaquie, la Bulgarie et la Serbie.
« Dans ces campagnes, AceCryptor étaient utilisé
pour cibler plusieurs pays européens et extraire des informations ou obtenir un
premier accès à plusieurs entreprises. Les maliciels impliqués étaient
distribués dans des courriers indésirables et, dans certains cas, très
convaincants. Parfois, le spam était envoyé à partir de comptes de messagerie
légitimes, mais compromis », explique Jakub Kaloč, le chercheur d'ESET qui a
découvert la dernière campagne AceCryptor avec Rescoms. "Puisque
l'ouverture de pièces jointes à ces courriels peut avoir de graves conséquences
pour vous ou votre entreprise, nous vous conseillons d'être très attentif à ce
que vous ouvrez et d'utiliser un logiciel de sécurité pour terminaux fiable,
capable de détecter ce maliciel", ajoute-t-il.
Au premier semestre de 2023, les pays les plus
touchés par les maliciels d’AceCryptor étaient le Pérou, le Mexique, l'Égypte
et la Turquie. Avec 4700 attaques, le Pérou, était en première position. Au
cours du second semestre, les campagnes de Rescoms ont radicalement modifié ces
statistiques. Les maliciels d’AceCryptor ont touché principalement des pays
européens.
Les échantillons d’AceCryptor observés
par ESET au cours du second semestre de 2023 contenaient souvent deux familles
de maliciels comme charge utile : Rescoms et SmokeLoader. Un pic détecté
en Ukraine était provoqué par SmokeLoader. Cependant, en Pologne, en Slovaquie,
en Bulgarie et en Serbie, l'augmentation de l'activité a été provoquée par
AceCryptor contenant Rescoms comme charge utile finale.
Toutes les campagnes ciblant les
entreprises en Pologne avaient des sujets très similaires concernant des offres
B2B pour entreprises. Pour paraître aussi crédibles que possible, les
attaquants ont fait des recherches et ont utilisé des noms d’entreprises
polonaises existantes et même des noms et coordonnées d’employés/propriétaires
existants comme signature de ces e-mails. Ceci afin qu’une victime recherchant
le nom de l'expéditeur sur Google, le trouve et soit motivée pour ouvrir la
pièce jointe malveillante.
Alors qu’on ne sait pas si les
informations d’identification ont été recueillies pour le groupe qui a mené ces
attaques ou si ces informations volées seraient ensuite revendues à d’autres hackers,
une compromission réussie permet de nouvelles attaques, en particulier de ransomware.
En parallèle aux campagnes polonaises,
la télémétrie d’ESET a enregistré des campagnes en cours en Slovaquie, en
Bulgarie et en Serbie. La seule différence significative était la langue
utilisée dans les courriels, qui était celle des pays visés. En plus des
campagnes mentionnées précédemment, l’Espagne a aussi connu une vague de spams
avec Rescoms comme charge utile finale.
Pour plus d'informations techniques sur
la campagne AceCryptor et Rescoms RAT, consultez le blog Rescoms rides waves of AceCryptor spam sur https://www.welivesecurity.com.
Depuis plus
de 30 ans, ESET® développe des logiciels et des services de
sécurité informatique de pointe pour protéger les entreprises, les
infrastructures critiques et les consommateurs du monde entier contre les
menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et
des mobiles à l'EDR en passant par le chiffrement, l'authentification à
double facteur, les solutions légères et performantes d'ESET protègent et
surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer
sans interruption la sécurité des utilisateurs et des entreprises. L'évolution
constante des menaces nécessite un fournisseur de sécurité informatique
évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par
les centres de R&D d'ESET dans le monde entier, travaillant à soutenir
notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
