El año pasado ESET publicó un entrada de blog sobre AceCryptor – uno de los cifradores como servicio (CaaS) más populares y prevalentes que opera desde 2016. Para el primer semestre de 1 publicamos estadísticas de nuestra telemetría, según las cuales las tendencias de períodos anteriores continuaron sin cambios drásticos.
Sin embargo, en el segundo semestre de 2 registramos un cambio significativo en la forma en que se utiliza AceCryptor. No solo vimos y bloqueamos más del doble de ataques en el segundo semestre de 2023 en comparación con el primer semestre de 2, sino que también notamos que Rescoms (también conocido como Remcos) comenzó a usar AceCryptor, lo que no era el caso antes.
La gran mayoría de las muestras RAT de Rescoms empaquetadas con AceCryptor se utilizaron como vector de compromiso inicial en múltiples campañas de spam dirigidas a países europeos, incluidos Polonia, Eslovaquia, Bulgaria y Serbia.
Puntos clave de esta entrada de blog:
- AceCryptor continuó brindando servicios de empaquetado a decenas de familias de malware muy conocidas en el segundo semestre de 2.
- Aunque es muy conocido por los productos de seguridad, la prevalencia de AceCryptor no muestra signos de declive: por el contrario, el número de ataques aumentó significativamente debido a las campañas de Rescoms.
- AceCryptor es un cifrador elegido por los actores de amenazas que apuntan a países y objetivos específicos (por ejemplo, empresas de un país en particular).
- En el segundo semestre de 2, ESET detectó múltiples campañas de AceCryptor+Rescoms en países europeos, principalmente Polonia, Bulgaria, España y Serbia.
- El actor de amenazas detrás de esas campañas en algunos casos abusó de cuentas comprometidas para enviar correos electrónicos no deseados con el fin de que parecieran lo más creíbles posible.
- El objetivo de las campañas de spam era obtener credenciales almacenadas en navegadores o clientes de correo electrónico, que en caso de un compromiso exitoso abrirían posibilidades para futuros ataques.
AceCryptor en el segundo semestre de 2
En la primera mitad de 2023, ESET protegió a unos 13,000 usuarios del malware empaquetado con AceCryptor. En la segunda mitad del año, hubo un aumento masivo de la propagación de malware empaquetado en AceCryptor, y nuestras detecciones se triplicaron, lo que resultó en más de 42,000 usuarios de ESET protegidos en todo el mundo. Como se puede observar en la Figura 1, detectamos múltiples oleadas repentinas de propagación de malware. Estos picos muestran múltiples campañas de spam dirigidas a países europeos donde AceCryptor incluía un RAT de Rescoms (que se analiza más en el Campañas de rescoms sección).
Además, cuando comparamos el número bruto de muestras: en la primera mitad de 2023, ESET detectó más de 23,000 muestras maliciosas únicas de AceCryptor; en la segunda mitad de 2023, vimos y detectamos “solo” más de 17,000 muestras únicas. Aunque esto pueda parecer inesperado, tras un análisis más detenido de los datos hay una explicación razonable. Las campañas de spam de Rescoms utilizaron los mismos archivos maliciosos en campañas de correo electrónico enviadas a una mayor cantidad de usuarios, lo que aumentó la cantidad de personas que encontraron el malware, pero aún mantuvo baja la cantidad de archivos diferentes. Esto no sucedió en períodos anteriores ya que Rescoms casi nunca se usó en combinación con AceCryptor. Otra razón para la disminución en el número de muestras únicas es que algunas familias populares aparentemente dejaron (o casi dejaron) de usar AceCryptor como su CaaS. Un ejemplo es el malware Danabot que dejó de utilizar AceCryptor; Además, el destacado RedLine Stealer cuyos usuarios dejaron de usar AceCryptor, basándose en una disminución de más del 60 % en las muestras de AceCryptor que contienen ese malware.
Como se ve en la Figura 2, AceCryptor todavía distribuye, además de Rescoms, muestras de muchas familias de malware diferentes, como SmokeLoader, STOP ransomware y Vidar Stealer.
En el primer semestre de 2023, los países más afectados por el malware empaquetado por AceCryptor fueron Perú, México, Egipto y Türkiye, donde Perú, con 4,700, tuvo el mayor número de ataques. Las campañas de spam de Rescoms cambiaron drásticamente estas estadísticas en la segunda mitad del año. Como se puede ver en la Figura 3, el malware empaquetado con AceCryptor afectó principalmente a países europeos. Con diferencia, el país más afectado es Polonia, donde ESET evitó más de 26,000 ataques; le siguen Ucrania, España y Serbia. Y vale la pena mencionar que en cada uno de esos países los productos de ESET evitaron más ataques que en el país más afectado en el primer semestre de 1, Perú.
Las muestras de AceCryptor que hemos observado en el segundo semestre a menudo contenían dos familias de malware como carga útil: Rescoms y SmokeLoader. SmokeLoader provocó un aumento en Ucrania. Este hecho ya fue mencionado por el NSDC de Ucrania. Por otro lado, en Polonia, Eslovaquia, Bulgaria y Serbia el aumento de la actividad se debió a que AceCryptor contenía Rescoms como carga útil final.
Campañas de rescoms
En la primera mitad de 2023, vimos en nuestra telemetría menos de cien incidentes de muestras de AceCryptor con Rescoms en su interior. Durante la segunda mitad del año, Rescoms se convirtió en la familia de malware más frecuente empaquetada por AceCryptor, con más de 32,000 visitas. Más de la mitad de estos intentos ocurrieron en Polonia, seguida de Serbia, España, Bulgaria y Eslovaquia (Figura 4).
Campañas en Polonia
Gracias a la telemetría de ESET, pudimos observar ocho importantes campañas de spam dirigidas a Polonia en el segundo semestre de 2. Como se puede ver en la Figura 2023, la mayoría de ellas ocurrieron en septiembre, pero también hubo campañas en agosto y diciembre.
En total, ESET registró más de 26,000 de estos ataques en Polonia durante este período. Todas las campañas de spam estaban dirigidas a empresas de Polonia y todos los correos electrónicos tenían asuntos muy similares sobre ofertas B2B para las empresas víctimas. Para parecer lo más creíble posible, los atacantes incorporaron los siguientes trucos en los correos electrónicos no deseados:
- Direcciones de correo electrónico a las que enviaban correos electrónicos no deseados desde dominios imitados de otras empresas. Los atacantes utilizaron un TLD diferente, cambiaron una letra en el nombre de una empresa o el orden de las palabras en el caso de un nombre de empresa de varias palabras (esta técnica se conoce como typosquatting).
- Lo más notable es que múltiples campañas involucradas compromiso de correo electrónico comercial – Los atacantes abusaron de cuentas de correo electrónico previamente comprometidas de otros empleados de la empresa para enviar correos electrónicos no deseados. De esta manera, incluso si la víctima potencial buscaba las señales de alerta habituales, simplemente no estaban allí y el correo electrónico parecía tan legítimo como podría haberlo hecho.
Los atacantes investigaron y utilizaron nombres de empresas polacas existentes e incluso nombres de empleados/propietarios e información de contacto existentes al firmar esos correos electrónicos. Esto se hizo para que, en el caso de que una víctima intentara buscar en Google el nombre del remitente, la búsqueda fuera exitosa, lo que podría llevarla a abrir el archivo adjunto malicioso.
- El contenido de los correos electrónicos no deseados era en algunos casos más simple pero en muchos casos (como el ejemplo de la Figura 6) bastante elaborado. Especialmente estas versiones más elaboradas deberían considerarse peligrosas, ya que se desvían del patrón estándar del texto genérico, que a menudo está plagado de errores gramaticales.
El correo electrónico que se muestra en la Figura 6 contiene un mensaje seguido de información sobre el procesamiento de datos personales realizado por el presunto remitente y la posibilidad de “acceder al contenido de sus datos y el derecho a rectificar, eliminar, limitar las restricciones de procesamiento, derecho a la transferencia de datos”. , derecho a presentar objeciones y derecho a presentar una queja ante la autoridad de control”. El mensaje en sí se puede traducir así:
Estimado señor,
Soy Sylwester [redactado] de [redactado]. Un socio comercial nos recomendó su empresa. Por favor cite la lista de pedidos adjunta. Infórmenos también sobre las condiciones de pago.
Esperamos su respuesta y más discusión.
-
Atentamente,
Los archivos adjuntos en todas las campañas parecían bastante similares (Figura 7). Los correos electrónicos contenían un archivo adjunto o un archivo ISO llamado oferta/consulta (por supuesto en polaco), en algunos casos también acompañado de un número de pedido. Ese archivo contenía un ejecutable de AceCryptor que descomprimió e inició Rescoms.
Según el comportamiento del malware, asumimos que el objetivo de estas campañas era obtener credenciales de correo electrónico y de navegador y así obtener acceso inicial a las empresas objetivo. Si bien se desconoce si las credenciales fueron recopiladas para el grupo que llevó a cabo estos ataques o si esas credenciales robadas se venderían más tarde a otros actores de amenazas, es seguro que un compromiso exitoso abre la posibilidad de futuros ataques, especialmente de los actualmente populares, ataques de ransomware.
Es importante señalar que Rescoms RAT se puede comprar; por lo tanto, muchos actores de amenazas lo utilizan en sus operaciones. Estas campañas no sólo están conectadas por la similitud de objetivos, la estructura de los archivos adjuntos, el texto del correo electrónico o los trucos y técnicas utilizados para engañar a las víctimas potenciales, sino también por algunas propiedades menos obvias. En el propio malware, pudimos encontrar artefactos (por ejemplo, el ID de licencia de Rescoms) que unen esas campañas, lo que revela que muchos de estos ataques fueron llevados a cabo por un actor de amenazas.
Campañas en Eslovaquia, Bulgaria y Serbia
Durante los mismos períodos que las campañas en Polonia, la telemetría de ESET también registró campañas en curso en Eslovaquia, Bulgaria y Serbia. Estas campañas también se dirigieron principalmente a empresas locales e incluso podemos encontrar artefactos en el propio malware que vinculan estas campañas con el mismo actor de amenazas que llevó a cabo las campañas en Polonia. Lo único significativo que cambió fue, por supuesto, el idioma utilizado en los correos electrónicos no deseados para que fuera adecuado para esos países específicos.
Campañas en España
Además de las campañas mencionadas anteriormente, España también experimentó un aumento de correos electrónicos no deseados con Rescoms como carga útil final. Aunque podemos confirmar que al menos una de las campañas fue llevada a cabo por el mismo actor de amenazas que en estos casos anteriores, otras campañas siguieron un patrón algo diferente. Además, incluso los artefactos que eran iguales en casos anteriores diferían en estos y, por ello, no podemos concluir que las campañas en España tuvieran su origen en el mismo lugar.
Conclusión
Durante la segunda mitad de 2023, detectamos un cambio en el uso de AceCryptor, un cifrador popular utilizado por múltiples actores de amenazas para empaquetar muchas familias de malware. Aunque la prevalencia de algunas familias de malware como RedLine Stealer disminuyó, otros actores de amenazas comenzaron a usarlo o lo usaron aún más para sus actividades y AceCryptor sigue siendo fuerte. En estas campañas, AceCryptor se utilizó para apuntar a múltiples países europeos y extraer información. u obtener acceso inicial a múltiples empresas. En estos ataques, el malware se distribuía en correos electrónicos no deseados, que en algunos casos eran bastante convincentes; A veces, el spam incluso se enviaba desde cuentas de correo electrónico legítimas, pero abusadas. Debido a que abrir archivos adjuntos de dichos correos electrónicos puede tener graves consecuencias para usted o su empresa, le recomendamos que tenga en cuenta lo que está abriendo y utilice un software de seguridad de punto final confiable capaz de detectar el malware.
Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, contáctenos en amenazaintel@eset.com.
ESET Research ofrece fuentes de datos e informes de inteligencia APT privados. Para cualquier consulta sobre este servicio, visite el Inteligencia de amenazas de ESET .
IoC
Puede encontrar una lista completa de indicadores de compromiso (IoC) en nuestro Repositorio GitHub.
archivos
SHA-1 |
Nombre del archivo |
Detección |
Descripción |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Kryptik.HVOB |
Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante diciembre de 2023. |
7DB6780A1E09AEC6146E |
zapytanie.7z |
Win32/Kryptik.HUNX |
Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023. |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
Archivo adjunto malicioso procedente de una campaña de spam realizada en Polonia y Bulgaria durante septiembre de 2023. |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante septiembre de 2023. |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Kryptik.HUPK |
Archivo adjunto malicioso de una campaña de spam realizada en Bulgaria durante septiembre de 2023. |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Kryptik.HUMI |
Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante agosto de 2023. |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante agosto de 2023. |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
Archivo adjunto malicioso de una campaña de spam realizada en Bulgaria durante agosto de 2023. |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Rescoms.B |
Archivo adjunto malicioso de una campaña de spam realizada en Eslovaquia durante agosto de 2023. |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Rescoms.B |
Archivo adjunto malicioso de una campaña de spam realizada en Bulgaria durante diciembre de 2023. |
AF021E767E68F6CE1D20 |
zapytanie ofertowe.7z |
Win32/Kryptik.HUQF |
Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023. |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023. |
D2FF84892F3A4E4436BE |
Zamowienie_ andre.7z |
Win32/Kryptik.HUOZ |
Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023. |
DB87AA88F358D9517EEB |
20030703_S1002.iso |
Win32/Kryptik.HUNI |
Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante septiembre de 2023. |
EF2106A0A40BB5C1A74A |
Zamowienie_830.iso |
Win32/Kryptik.HVOB |
Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante diciembre de 2023. |
FAD97EC6447A699179B0 |
lista zamówień i szczegółowe zdjęcia.arj |
Win32/Kryptik.HUPK |
Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023. |
FB8F64D2FEC152D2D135 |
Pedido.iso |
Win32/Kryptik.HUMF |
Archivo adjunto malicioso procedente de campaña de spam realizada en España durante agosto de 2023. |
Técnicas MITRE ATT & CK
Esta tabla fue construida usando Versión 14 del marco MITRE ATT & CK.
Táctica |
ID |
Nombre |
Descripción |
Reconocimiento |
Recopilar información de identidad de la víctima: direcciones de correo electrónico |
Direcciones de correo electrónico e información de contacto (ya sea compradas o recopiladas de fuentes disponibles públicamente) se utilizaron en campañas de phishing dirigidas a empresas en varios países. |
|
Desarrollo de recursos |
Cuentas comprometidas: cuentas de correo electrónico |
Los atacantes utilizaron cuentas de correo electrónico comprometidas para enviar correos electrónicos de phishing en campañas de spam para aumentar la credibilidad del correo electrónico no deseado. |
|
Obtener capacidades: Malware |
Los atacantes compraron y utilizaron AceCryptor y Rescoms para campañas de phishing. |
||
Acceso inicial |
Phishing |
Los atacantes utilizaron mensajes de phishing con archivos adjuntos maliciosos para comprometer computadoras y robar información de empresas en varios países europeos. |
|
Phishing: archivo adjunto de spearphishing |
Los atacantes utilizaron mensajes de phishing para comprometer computadoras y robar información de empresas en varios países europeos. |
||
Ejecución |
Ejecución del usuario: archivo malicioso |
Los atacantes dependían de que los usuarios abrieran y ejecutaran archivos maliciosos con malware empaquetado por AceCryptor. |
|
Acceso a credenciales |
Credenciales de almacenes de contraseñas: Credenciales de navegadores web |
Los atacantes intentaron robar información de credenciales de navegadores y clientes de correo electrónico. |
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/
- :es
- :no
- :dónde
- 000
- 1
- 13
- 14
- 17
- 2016
- 2023
- 23
- 26%
- 32
- 36
- 7
- 700
- 8
- 9
- a
- Poder
- Nuestra Empresa
- abuso
- de la máquina
- acompañado
- Conforme
- Cuentas
- a través de
- actividades
- actividad
- los actores
- direcciones
- asesorar
- afectado
- Después
- Todos
- presunto
- casi
- ya haya utilizado
- también
- am
- an
- y
- Andre
- Otra
- cualquier
- aparte
- APT
- Archive
- somos
- en torno a
- AS
- asumir
- At
- ataques
- Los intentos
- AGOSTO
- Hoy Disponibles
- promedio
- conscientes
- B2B
- basado
- BE
- se convirtió en
- porque
- esto
- comportamiento
- detrás de
- bloqueado
- compró
- cada navegador
- navegadores
- construido
- Bulgaria
- negocios
- pero
- by
- caas
- Campaña
- Campañas
- PUEDEN
- no puede
- capacidades
- llevado a
- case
- cases
- causado
- a ciertos
- cadena
- el cambio
- cambiado
- Cambios
- manera?
- clientes
- más cerca
- COM
- combinación
- Empresas
- compañía
- comparar
- comparación
- queja
- exhaustivo
- compromiso
- Comprometida
- computadoras
- concluye
- Confirmar
- conectado
- Consecuencias
- considerado
- contacte
- contenida
- contiene
- contenido
- continuado
- contrario
- podría
- países
- país
- Curso
- CREDENCIAL
- Referencias
- Credibilidad
- creíble
- En la actualidad
- todos los días
- peligroso
- datos
- Diciembre
- Rechazar
- disminuir
- detectar
- detectado
- desviarse
- HIZO
- una experiencia diferente
- discutido
- discusión
- distribuidos
- dominios
- hecho
- doble
- dramáticamente
- caído
- dos
- durante
- e
- cada una
- Egipto
- ocho
- ya sea
- Elaborar
- correo
- personas
- Punto final
- seguridad de punto final
- especialmente
- Europea
- Países europeos
- Incluso
- ejemplo
- ejecución
- existente
- experimentado
- explicación
- extraerlos
- hecho
- familias
- familia
- muchos
- menos
- Figura
- Archive
- archivos
- final
- Encuentre
- Nombre
- banderas
- seguido
- siguiendo
- adelante
- encontrado
- Marco conceptual
- Desde
- promover
- Además
- Obtén
- reunido
- objetivo
- va
- mayor
- mayores
- Grupo procesos
- tenido
- A Mitad
- mano
- suceder
- pasó
- Tienen
- Golpes
- Cómo
- HTTPS
- cien
- i
- ID
- Identidad
- if
- imagen
- importante
- in
- Incluye
- Incorporado
- aumente
- aumentado
- creciente
- indicaciones
- indicadores
- informar
- información
- inicial
- Consultas
- dentro
- Intelligence
- dentro
- involucra
- ISO
- IT
- sí mismo
- jpeg
- solo
- acuerdo
- conocido
- idioma
- luego
- lanzado
- lanzamiento
- Lead
- menos
- legítima
- menos
- carta
- Licencia
- como
- LIMITE LAS
- líneas
- Lista
- local
- Mira
- miró
- Baja
- principalmente
- Mayoría
- para lograr
- malicioso
- el malware
- muchos
- masivo
- mencionado
- mencionando
- mensaje
- la vida
- México
- podría
- errores
- más,
- MEJOR DE TU
- Más popular
- cuales son las que reflejan
- emocionante
- media móvil
- mucho más
- múltiples
- nombre
- Llamado
- nombres
- nunca
- notable
- número
- observar
- obtener
- obvio
- of
- Ofertas
- a menudo
- on
- ONE
- en marcha
- , solamente
- habiertos
- apertura
- abre
- funcionamiento
- Operaciones
- or
- solicite
- originada
- Otro
- nuestros
- salir
- Más de
- .
- llena
- página
- particular
- Socio
- Contraseña
- Patrón de Costura
- pago
- (PDF)
- Personas
- período
- períodos
- con
- Perú
- suplantación de identidad
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Por favor
- puntos
- Polonia
- Polaco
- Popular
- POSIBILIDADES
- posibilidad
- posible
- posible
- predominio
- frecuente
- impedido
- anterior
- previamente
- privada
- tratamiento
- Productos
- destacado
- propiedades
- protegido
- proporcionar
- en público
- publicado
- exactamente
- cotización inicial
- aumento
- ransomware
- Ataques de ransomware
- RATA
- Crudo
- razón
- mejor
- recomendado
- Rojo
- Banderas rojas
- redacted
- Saludos
- registrado
- confianza
- Informes
- la investigación
- respuesta
- restricciones
- resultante
- revelando
- acribillado
- paseos
- Derecho
- s
- mismo
- Sierra
- Buscar
- Segundo
- EN LINEA
- visto
- envío
- remitente
- enviando
- expedido
- Septiembre
- Serbia
- de coches
- Servicios
- grave
- Turno
- tienes
- Mostrar
- demostración
- mostrado
- importante
- significativamente
- firma
- similares
- más sencillo
- desde
- Desde 2016
- señor
- So
- Software
- vendido
- algo
- a veces
- algo
- Fuentes
- España
- correo no deseado (spam)
- soluciones y
- espiga
- picos
- esparcimiento
- estándar
- fundó
- Estado
- statistics
- Sin embargo
- robada
- Detener
- detenido
- almacenados
- tiendas
- fuerte
- estructura
- sujeto
- exitosos
- tal
- repentino
- adecuado
- oleada
- mesa
- Target
- afectados
- orientación
- tiene como objetivo
- la técnica
- técnicas
- tener
- términos
- texto
- que
- esa
- El
- su
- Les
- Ahí.
- Estas
- ellos
- cosa
- así
- aquellos
- ¿aunque?
- amenaza
- actores de amenaza
- Así
- CORBATA
- equipo
- calendario
- a
- juntos
- Total
- transferir
- Tendencias
- probado
- triplicado
- Turquía
- dos
- Ucrania
- Ucranios
- Inesperado
- único
- desconocido
- us
- Uso
- utilizan el
- usado
- usuarios
- usando
- usual
- Vasto
- versiones
- muy
- Víctima
- las víctimas
- Visite
- fue
- olas
- Camino..
- we
- web
- WELL
- bien conocido
- tuvieron
- ¿
- cuando
- sean
- que
- mientras
- QUIENES
- cuyo
- anchura
- Wild
- sin
- Palabra
- en todo el mundo
- valor
- se
- año
- Usted
- tú
- zephyrnet