Publié le 20/03/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
ESET Research: les attaques d’AceCryptor ciblent l'Europe en utilisant l'outil Rescoms
• Au second semestre de 2023, ESET a détecté des campagnes AceCryptor utilisant Rescoms, outil d'accès à distance (RAT), principalement en Europe - Pologne, Bulgarie, Slovaquie, Espagne et Serbie.
• L'auteur de ces campagnes a, dans certains cas, utilisé des comptes compromis pour envoyer des courriers indésirables afin de les rendre aussi crédibles que possible.
• L'objectif de ces campagnes était d'obtenir des informations stockées dans les navigateurs ou les clients de messageries. En cas de compromission réussie cela ouvrirait la voie à d'autres attaques.
BRATISLAVA, le 20 mars 2024 — ESET Research a enregistré une augmentation spectaculaire des attaques d’AceCryptor. Les détections ont triplé entre le premier et le second semestre 2023, ce qui correspond à la protection de 42 000 utilisateurs d'ESET dans le monde. Ces derniers mois, ESET a enregistré un changement significatif dans la façon dont AceCryptor est utilisé. Les attaquants diffusant Rescoms (aussi connu sous le nom de Remcos) ont commencé à utiliser AceCryptor, ce qui n'était pas le cas précédemment. Rescoms est un outil d'accès à distance (RAT) souvent utilisé à des fins malveillantes. AceCryptor est un cryptor-as-a-service qui masque les maliciels pour empêcher leur détection. Sur base du comportement de ces maliciels, les chercheurs d'ESET supposent que l'objectif de ces campagnes est l’obtention d’informations d'identification de messagerie et de navigateur pour de nouvelles attaques contre les entreprises ciblées. La majorité des échantillons Rescoms RAT contenant AceCryptor étaient utilisés comme vecteur de compromission initial dans plusieurs campagnes ciblant les pays européens, notamment l'Espagne, la Pologne, la Slovaquie, la Bulgarie et la Serbie.
« Dans ces campagnes, AceCryptor étaient utilisé pour cibler plusieurs pays européens et extraire des informations ou obtenir un premier accès à plusieurs entreprises. Les maliciels impliqués étaient distribués dans des courriers indésirables et, dans certains cas, très convaincants. Parfois, le spam était envoyé à partir de comptes de messagerie légitimes, mais compromis », explique Jakub Kaloč, le chercheur d'ESET qui a découvert la dernière campagne AceCryptor avec Rescoms. "Puisque l'ouverture de pièces jointes à ces courriels peut avoir de graves conséquences pour vous ou votre entreprise, nous vous conseillons d'être très attentif à ce que vous ouvrez et d'utiliser un logiciel de sécurité pour terminaux fiable, capable de détecter ce maliciel", ajoute-t-il.
Au premier semestre de 2023, les pays les plus touchés par les maliciels d’AceCryptor étaient le Pérou, le Mexique, l'Égypte et la Turquie. Avec 4700 attaques, le Pérou, était en première position. Au cours du second semestre, les campagnes de Rescoms ont radicalement modifié ces statistiques. Les maliciels d’AceCryptor ont touché principalement des pays européens.
Les échantillons d’AceCryptor observés par ESET au cours du second semestre de 2023 contenaient souvent deux familles de maliciels comme charge utile : Rescoms et SmokeLoader. Un pic détecté en Ukraine était provoqué par SmokeLoader. Cependant, en Pologne, en Slovaquie, en Bulgarie et en Serbie, l'augmentation de l'activité a été provoquée par AceCryptor contenant Rescoms comme charge utile finale.
Toutes les campagnes ciblant les entreprises en Pologne avaient des sujets très similaires concernant des offres B2B pour entreprises. Pour paraître aussi crédibles que possible, les attaquants ont fait des recherches et ont utilisé des noms d’entreprises polonaises existantes et même des noms et coordonnées d’employés/propriétaires existants comme signature de ces e-mails. Ceci afin qu’une victime recherchant le nom de l'expéditeur sur Google, le trouve et soit motivée pour ouvrir la pièce jointe malveillante.
Alors qu’on ne sait pas si les informations d’identification ont été recueillies pour le groupe qui a mené ces attaques ou si ces informations volées seraient ensuite revendues à d’autres hackers, une compromission réussie permet de nouvelles attaques, en particulier de ransomware.
En parallèle aux campagnes polonaises, la télémétrie d’ESET a enregistré des campagnes en cours en Slovaquie, en Bulgarie et en Serbie. La seule différence significative était la langue utilisée dans les courriels, qui était celle des pays visés. En plus des campagnes mentionnées précédemment, l’Espagne a aussi connu une vague de spams avec Rescoms comme charge utile finale.
Pour plus d'informations techniques sur la campagne AceCryptor et Rescoms RAT, consultez le blog Rescoms rides waves of AceCryptor spam sur https://www.welivesecurity.com.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
• Au second semestre de 2023, ESET a détecté des campagnes AceCryptor utilisant Rescoms, outil d'accès à distance (RAT), principalement en Europe - Pologne, Bulgarie, Slovaquie, Espagne et Serbie.
• L'auteur de ces campagnes a, dans certains cas, utilisé des comptes compromis pour envoyer des courriers indésirables afin de les rendre aussi crédibles que possible.
• L'objectif de ces campagnes était d'obtenir des informations stockées dans les navigateurs ou les clients de messageries. En cas de compromission réussie cela ouvrirait la voie à d'autres attaques.
BRATISLAVA, le 20 mars 2024 — ESET Research a enregistré une augmentation spectaculaire des attaques d’AceCryptor. Les détections ont triplé entre le premier et le second semestre 2023, ce qui correspond à la protection de 42 000 utilisateurs d'ESET dans le monde. Ces derniers mois, ESET a enregistré un changement significatif dans la façon dont AceCryptor est utilisé. Les attaquants diffusant Rescoms (aussi connu sous le nom de Remcos) ont commencé à utiliser AceCryptor, ce qui n'était pas le cas précédemment. Rescoms est un outil d'accès à distance (RAT) souvent utilisé à des fins malveillantes. AceCryptor est un cryptor-as-a-service qui masque les maliciels pour empêcher leur détection. Sur base du comportement de ces maliciels, les chercheurs d'ESET supposent que l'objectif de ces campagnes est l’obtention d’informations d'identification de messagerie et de navigateur pour de nouvelles attaques contre les entreprises ciblées. La majorité des échantillons Rescoms RAT contenant AceCryptor étaient utilisés comme vecteur de compromission initial dans plusieurs campagnes ciblant les pays européens, notamment l'Espagne, la Pologne, la Slovaquie, la Bulgarie et la Serbie.
« Dans ces campagnes, AceCryptor étaient utilisé pour cibler plusieurs pays européens et extraire des informations ou obtenir un premier accès à plusieurs entreprises. Les maliciels impliqués étaient distribués dans des courriers indésirables et, dans certains cas, très convaincants. Parfois, le spam était envoyé à partir de comptes de messagerie légitimes, mais compromis », explique Jakub Kaloč, le chercheur d'ESET qui a découvert la dernière campagne AceCryptor avec Rescoms. "Puisque l'ouverture de pièces jointes à ces courriels peut avoir de graves conséquences pour vous ou votre entreprise, nous vous conseillons d'être très attentif à ce que vous ouvrez et d'utiliser un logiciel de sécurité pour terminaux fiable, capable de détecter ce maliciel", ajoute-t-il.
Au premier semestre de 2023, les pays les plus touchés par les maliciels d’AceCryptor étaient le Pérou, le Mexique, l'Égypte et la Turquie. Avec 4700 attaques, le Pérou, était en première position. Au cours du second semestre, les campagnes de Rescoms ont radicalement modifié ces statistiques. Les maliciels d’AceCryptor ont touché principalement des pays européens.
Les échantillons d’AceCryptor observés par ESET au cours du second semestre de 2023 contenaient souvent deux familles de maliciels comme charge utile : Rescoms et SmokeLoader. Un pic détecté en Ukraine était provoqué par SmokeLoader. Cependant, en Pologne, en Slovaquie, en Bulgarie et en Serbie, l'augmentation de l'activité a été provoquée par AceCryptor contenant Rescoms comme charge utile finale.
Toutes les campagnes ciblant les entreprises en Pologne avaient des sujets très similaires concernant des offres B2B pour entreprises. Pour paraître aussi crédibles que possible, les attaquants ont fait des recherches et ont utilisé des noms d’entreprises polonaises existantes et même des noms et coordonnées d’employés/propriétaires existants comme signature de ces e-mails. Ceci afin qu’une victime recherchant le nom de l'expéditeur sur Google, le trouve et soit motivée pour ouvrir la pièce jointe malveillante.
Alors qu’on ne sait pas si les informations d’identification ont été recueillies pour le groupe qui a mené ces attaques ou si ces informations volées seraient ensuite revendues à d’autres hackers, une compromission réussie permet de nouvelles attaques, en particulier de ransomware.
En parallèle aux campagnes polonaises, la télémétrie d’ESET a enregistré des campagnes en cours en Slovaquie, en Bulgarie et en Serbie. La seule différence significative était la langue utilisée dans les courriels, qui était celle des pays visés. En plus des campagnes mentionnées précédemment, l’Espagne a aussi connu une vague de spams avec Rescoms comme charge utile finale.
Pour plus d'informations techniques sur la campagne AceCryptor et Rescoms RAT, consultez le blog Rescoms rides waves of AceCryptor spam sur https://www.welivesecurity.com.
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/