Rescoms aprovecha las oleadas de spam de AceCryptor

El año pasado ESET publicó un entrada de blog sobre AceCryptor – uno de los cifradores como servicio (CaaS) más populares y prevalentes que opera desde 2016. Para el primer semestre de 1 publicamos estadísticas de nuestra telemetría, según las cuales las tendencias de períodos anteriores continuaron sin cambios drásticos.

Sin embargo, en el segundo semestre de 2 registramos un cambio significativo en la forma en que se utiliza AceCryptor. No solo vimos y bloqueamos más del doble de ataques en el segundo semestre de 2023 en comparación con el primer semestre de 2, sino que también notamos que Rescoms (también conocido como Remcos) comenzó a usar AceCryptor, lo que no era el caso antes.

La gran mayoría de las muestras RAT de Rescoms empaquetadas con AceCryptor se utilizaron como vector de compromiso inicial en múltiples campañas de spam dirigidas a países europeos, incluidos Polonia, Eslovaquia, Bulgaria y Serbia.

Puntos clave de esta entrada de blog:

• AceCryptor continuó brindando servicios de empaquetado a decenas de familias de malware muy conocidas en el segundo semestre de 2.
• Aunque es muy conocido por los productos de seguridad, la prevalencia de AceCryptor no muestra signos de declive: por el contrario, el número de ataques aumentó significativamente debido a las campañas de Rescoms.
• AceCryptor es un cifrador elegido por los actores de amenazas que apuntan a países y objetivos específicos (por ejemplo, empresas de un país en particular).
• En el segundo semestre de 2, ESET detectó múltiples campañas de AceCryptor+Rescoms en países europeos, principalmente Polonia, Bulgaria, España y Serbia.
• El actor de amenazas detrás de esas campañas en algunos casos abusó de cuentas comprometidas para enviar correos electrónicos no deseados con el fin de que parecieran lo más creíbles posible.
• El objetivo de las campañas de spam era obtener credenciales almacenadas en navegadores o clientes de correo electrónico, que en caso de un compromiso exitoso abrirían posibilidades para futuros ataques.

AceCryptor en el segundo semestre de 2

En la primera mitad de 2023, ESET protegió a unos 13,000 usuarios del malware empaquetado con AceCryptor. En la segunda mitad del año, hubo un aumento masivo de la propagación de malware empaquetado en AceCryptor, y nuestras detecciones se triplicaron, lo que resultó en más de 42,000 usuarios de ESET protegidos en todo el mundo. Como se puede observar en la Figura 1, detectamos múltiples oleadas repentinas de propagación de malware. Estos picos muestran múltiples campañas de spam dirigidas a países europeos donde AceCryptor incluía un RAT de Rescoms (que se analiza más en el Campañas de rescoms sección).

Además, cuando comparamos el número bruto de muestras: en la primera mitad de 2023, ESET detectó más de 23,000 muestras maliciosas únicas de AceCryptor; en la segunda mitad de 2023, vimos y detectamos “solo” más de 17,000 muestras únicas. Aunque esto pueda parecer inesperado, tras un análisis más detenido de los datos hay una explicación razonable. Las campañas de spam de Rescoms utilizaron los mismos archivos maliciosos en campañas de correo electrónico enviadas a una mayor cantidad de usuarios, lo que aumentó la cantidad de personas que encontraron el malware, pero aún mantuvo baja la cantidad de archivos diferentes. Esto no sucedió en períodos anteriores ya que Rescoms casi nunca se usó en combinación con AceCryptor. Otra razón para la disminución en el número de muestras únicas es que algunas familias populares aparentemente dejaron (o casi dejaron) de usar AceCryptor como su CaaS. Un ejemplo es el malware Danabot que dejó de utilizar AceCryptor; Además, el destacado RedLine Stealer cuyos usuarios dejaron de usar AceCryptor, basándose en una disminución de más del 60 % en las muestras de AceCryptor que contienen ese malware.

Como se ve en la Figura 2, AceCryptor todavía distribuye, además de Rescoms, muestras de muchas familias de malware diferentes, como SmokeLoader, STOP ransomware y Vidar Stealer.

En el primer semestre de 2023, los países más afectados por el malware empaquetado por AceCryptor fueron Perú, México, Egipto y Türkiye, donde Perú, con 4,700, tuvo el mayor número de ataques. Las campañas de spam de Rescoms cambiaron drásticamente estas estadísticas en la segunda mitad del año. Como se puede ver en la Figura 3, el malware empaquetado con AceCryptor afectó principalmente a países europeos. Con diferencia, el país más afectado es Polonia, donde ESET evitó más de 26,000 ataques; le siguen Ucrania, España y Serbia. Y vale la pena mencionar que en cada uno de esos países los productos de ESET evitaron más ataques que en el país más afectado en el primer semestre de 1, Perú.

Las muestras de AceCryptor que hemos observado en el segundo semestre a menudo contenían dos familias de malware como carga útil: Rescoms y SmokeLoader. SmokeLoader provocó un aumento en Ucrania. Este hecho ya fue mencionado por el NSDC de Ucrania. Por otro lado, en Polonia, Eslovaquia, Bulgaria y Serbia el aumento de la actividad se debió a que AceCryptor contenía Rescoms como carga útil final.

Campañas de rescoms

En la primera mitad de 2023, vimos en nuestra telemetría menos de cien incidentes de muestras de AceCryptor con Rescoms en su interior. Durante la segunda mitad del año, Rescoms se convirtió en la familia de malware más frecuente empaquetada por AceCryptor, con más de 32,000 visitas. Más de la mitad de estos intentos ocurrieron en Polonia, seguida de Serbia, España, Bulgaria y Eslovaquia (Figura 4).

Campañas en Polonia

Gracias a la telemetría de ESET, pudimos observar ocho importantes campañas de spam dirigidas a Polonia en el segundo semestre de 2. Como se puede ver en la Figura 2023, la mayoría de ellas ocurrieron en septiembre, pero también hubo campañas en agosto y diciembre.

En total, ESET registró más de 26,000 de estos ataques en Polonia durante este período. Todas las campañas de spam estaban dirigidas a empresas de Polonia y todos los correos electrónicos tenían asuntos muy similares sobre ofertas B2B para las empresas víctimas. Para parecer lo más creíble posible, los atacantes incorporaron los siguientes trucos en los correos electrónicos no deseados:

• Direcciones de correo electrónico a las que enviaban correos electrónicos no deseados desde dominios imitados de otras empresas. Los atacantes utilizaron un TLD diferente, cambiaron una letra en el nombre de una empresa o el orden de las palabras en el caso de un nombre de empresa de varias palabras (esta técnica se conoce como typosquatting).
• Lo más notable es que múltiples campañas involucradas compromiso de correo electrónico comercial – Los atacantes abusaron de cuentas de correo electrónico previamente comprometidas de otros empleados de la empresa para enviar correos electrónicos no deseados. De esta manera, incluso si la víctima potencial buscaba las señales de alerta habituales, simplemente no estaban allí y el correo electrónico parecía tan legítimo como podría haberlo hecho.

Los atacantes investigaron y utilizaron nombres de empresas polacas existentes e incluso nombres de empleados/propietarios e información de contacto existentes al firmar esos correos electrónicos. Esto se hizo para que, en el caso de que una víctima intentara buscar en Google el nombre del remitente, la búsqueda fuera exitosa, lo que podría llevarla a abrir el archivo adjunto malicioso.

• El contenido de los correos electrónicos no deseados era en algunos casos más simple pero en muchos casos (como el ejemplo de la Figura 6) bastante elaborado. Especialmente estas versiones más elaboradas deberían considerarse peligrosas, ya que se desvían del patrón estándar del texto genérico, que a menudo está plagado de errores gramaticales.

El correo electrónico que se muestra en la Figura 6 contiene un mensaje seguido de información sobre el procesamiento de datos personales realizado por el presunto remitente y la posibilidad de “acceder al contenido de sus datos y el derecho a rectificar, eliminar, limitar las restricciones de procesamiento, derecho a la transferencia de datos”. , derecho a presentar objeciones y derecho a presentar una queja ante la autoridad de control”. El mensaje en sí se puede traducir así:

Estimado señor,

Soy Sylwester [redactado] de [redactado]. Un socio comercial nos recomendó su empresa. Por favor cite la lista de pedidos adjunta. Infórmenos también sobre las condiciones de pago.

Esperamos su respuesta y más discusión.

-

Atentamente,

Los archivos adjuntos en todas las campañas parecían bastante similares (Figura 7). Los correos electrónicos contenían un archivo adjunto o un archivo ISO llamado oferta/consulta (por supuesto en polaco), en algunos casos también acompañado de un número de pedido. Ese archivo contenía un ejecutable de AceCryptor que descomprimió e inició Rescoms.

Según el comportamiento del malware, asumimos que el objetivo de estas campañas era obtener credenciales de correo electrónico y de navegador y así obtener acceso inicial a las empresas objetivo. Si bien se desconoce si las credenciales fueron recopiladas para el grupo que llevó a cabo estos ataques o si esas credenciales robadas se venderían más tarde a otros actores de amenazas, es seguro que un compromiso exitoso abre la posibilidad de futuros ataques, especialmente de los actualmente populares, ataques de ransomware.

Es importante señalar que Rescoms RAT se puede comprar; por lo tanto, muchos actores de amenazas lo utilizan en sus operaciones. Estas campañas no sólo están conectadas por la similitud de objetivos, la estructura de los archivos adjuntos, el texto del correo electrónico o los trucos y técnicas utilizados para engañar a las víctimas potenciales, sino también por algunas propiedades menos obvias. En el propio malware, pudimos encontrar artefactos (por ejemplo, el ID de licencia de Rescoms) que unen esas campañas, lo que revela que muchos de estos ataques fueron llevados a cabo por un actor de amenazas.

Campañas en Eslovaquia, Bulgaria y Serbia

Durante los mismos períodos que las campañas en Polonia, la telemetría de ESET también registró campañas en curso en Eslovaquia, Bulgaria y Serbia. Estas campañas también se dirigieron principalmente a empresas locales e incluso podemos encontrar artefactos en el propio malware que vinculan estas campañas con el mismo actor de amenazas que llevó a cabo las campañas en Polonia. Lo único significativo que cambió fue, por supuesto, el idioma utilizado en los correos electrónicos no deseados para que fuera adecuado para esos países específicos.

Campañas en España

Además de las campañas mencionadas anteriormente, España también experimentó un aumento de correos electrónicos no deseados con Rescoms como carga útil final. Aunque podemos confirmar que al menos una de las campañas fue llevada a cabo por el mismo actor de amenazas que en estos casos anteriores, otras campañas siguieron un patrón algo diferente. Además, incluso los artefactos que eran iguales en casos anteriores diferían en estos y, por ello, no podemos concluir que las campañas en España tuvieran su origen en el mismo lugar.

Conclusión

Durante la segunda mitad de 2023, detectamos un cambio en el uso de AceCryptor, un cifrador popular utilizado por múltiples actores de amenazas para empaquetar muchas familias de malware. Aunque la prevalencia de algunas familias de malware como RedLine Stealer disminuyó, otros actores de amenazas comenzaron a usarlo o lo usaron aún más para sus actividades y AceCryptor sigue siendo fuerte. En estas campañas, AceCryptor se utilizó para apuntar a múltiples países europeos y extraer información. u obtener acceso inicial a múltiples empresas. En estos ataques, el malware se distribuía en correos electrónicos no deseados, que en algunos casos eran bastante convincentes; A veces, el spam incluso se enviaba desde cuentas de correo electrónico legítimas, pero abusadas. Debido a que abrir archivos adjuntos de dichos correos electrónicos puede tener graves consecuencias para usted o su empresa, le recomendamos que tenga en cuenta lo que está abriendo y utilice un software de seguridad de punto final confiable capaz de detectar el malware.

Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, contáctenos en amenazaintel@eset.com.
ESET Research ofrece fuentes de datos e informes de inteligencia APT privados. Para cualquier consulta sobre este servicio, visite el Inteligencia de amenazas de ESET .

IoC

Puede encontrar una lista completa de indicadores de compromiso (IoC) en nuestro Repositorio GitHub.

archivos

SHA-1	Nombre del archivo	Detección	Descripción
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante diciembre de 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Archivo adjunto malicioso procedente de una campaña de spam realizada en Polonia y Bulgaria durante septiembre de 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante septiembre de 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Archivo adjunto malicioso de una campaña de spam realizada en Bulgaria durante septiembre de 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante agosto de 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante agosto de 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Archivo adjunto malicioso de una campaña de spam realizada en Bulgaria durante agosto de 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Archivo adjunto malicioso de una campaña de spam realizada en Eslovaquia durante agosto de 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Archivo adjunto malicioso de una campaña de spam realizada en Bulgaria durante diciembre de 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Archivo adjunto malicioso de una campaña de spam realizada en Serbia durante septiembre de 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante diciembre de 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Archivo adjunto malicioso de una campaña de spam realizada en Polonia durante septiembre de 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Archivo adjunto malicioso procedente de campaña de spam realizada en España durante agosto de 2023.

Técnicas MITRE ATT & CK

Esta tabla fue construida usando Versión 14 del marco MITRE ATT & CK.

Táctica	ID	Nombre	Descripción
Reconocimiento	T1589.002	Recopilar información de identidad de la víctima: direcciones de correo electrónico	Direcciones de correo electrónico e información de contacto (ya sea compradas o recopiladas de fuentes disponibles públicamente) se utilizaron en campañas de phishing dirigidas a empresas en varios países.
Desarrollo de recursos	T1586.002	Cuentas comprometidas: cuentas de correo electrónico	Los atacantes utilizaron cuentas de correo electrónico comprometidas para enviar correos electrónicos de phishing en campañas de spam para aumentar la credibilidad del correo electrónico no deseado.
	T1588.001	Obtener capacidades: Malware	Los atacantes compraron y utilizaron AceCryptor y Rescoms para campañas de phishing.
Acceso inicial	T1566	Phishing	Los atacantes utilizaron mensajes de phishing con archivos adjuntos maliciosos para comprometer computadoras y robar información de empresas en varios países europeos.
	T1566.001	Phishing: archivo adjunto de spearphishing	Los atacantes utilizaron mensajes de phishing para comprometer computadoras y robar información de empresas en varios países europeos.
Ejecución	T1204.002	Ejecución del usuario: archivo malicioso	Los atacantes dependían de que los usuarios abrieran y ejecutaran archivos maliciosos con malware empaquetado por AceCryptor.
Acceso a credenciales	T1555.003	Credenciales de almacenes de contraseñas: Credenciales de navegadores web	Los atacantes intentaron robar información de credenciales de navegadores y clientes de correo electrónico.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/