Rescoms surfe sur les vagues de spam d'AceCryptor

L'année dernière, ESET a publié un article de blog sur AceCryptor – l’un des cryptors-as-a-service (CaaS) les plus populaires et les plus répandus, opérationnel depuis 2016. Pour le premier semestre 1 nous avons publié les statistiques de notre télémétrie, selon lesquelles les tendances des périodes précédentes se sont poursuivies sans changements drastiques.

Cependant, au deuxième semestre 2, nous avons enregistré un changement significatif dans la façon dont AceCryptor est utilisé. Non seulement nous avons vu et bloqué plus du double des attaques au deuxième semestre 2023 par rapport au premier semestre 2, mais nous avons également remarqué que Rescoms (également connu sous le nom de Remcos) a commencé à utiliser AceCryptor, ce qui n'était pas le cas auparavant.

La grande majorité des échantillons Rescoms RAT contenant AceCryptor ont été utilisés comme vecteur de compromission initial dans plusieurs campagnes de spam ciblant des pays européens, notamment la Pologne, la Slovaquie, la Bulgarie et la Serbie.

Points clés de cet article de blog :

• AceCryptor a continué à fournir des services de packaging à des dizaines de familles de logiciels malveillants très connues au deuxième semestre 2.
• Bien que bien connu des produits de sécurité, la prévalence d'AceCryptor ne montre pas de signes de déclin : au contraire, le nombre d'attaques a considérablement augmenté grâce aux campagnes Rescoms.
• AceCryptor est un cryptor choisi par les acteurs de la menace ciblant des pays et des cibles spécifiques (par exemple, des entreprises dans un pays particulier).
• Au deuxième semestre 2, ESET a détecté plusieurs campagnes AceCryptor+Rescoms dans les pays européens, principalement en Pologne, en Bulgarie, en Espagne et en Serbie.
• L'auteur de la menace à l'origine de ces campagnes a dans certains cas abusé de comptes compromis pour envoyer des courriers indésirables afin de les rendre aussi crédibles que possible.
• L'objectif des campagnes de spam était d'obtenir des informations d'identification stockées dans les navigateurs ou les clients de messagerie, ce qui, en cas de compromission réussie, ouvrirait la voie à d'autres attaques.

AceCryptor au deuxième semestre 2

Au cours du premier semestre 2023, ESET a protégé environ 13,000 42,000 utilisateurs contre les logiciels malveillants fournis par AceCryptor. Au cours du second semestre, il y a eu une augmentation massive de la propagation des logiciels malveillants basés sur AceCryptor, nos détections ayant triplé, ce qui a permis de protéger plus de 1 XNUMX utilisateurs ESET dans le monde. Comme le montre la figure XNUMX, nous avons détecté plusieurs vagues soudaines de propagation de logiciels malveillants. Ces pics montrent plusieurs campagnes de spam ciblant les pays européens dans lesquels AceCryptor a emballé un Rescoms RAT (discuté plus en détail dans le Campagnes Rescoms section).

De plus, lorsque l’on compare le nombre brut d’échantillons : au premier semestre 2023, ESET a détecté plus de 23,000 2023 échantillons malveillants uniques d’AceCryptor ; au second semestre 17,000, nous avons vu et détecté « seulement » plus de 60 XNUMX échantillons uniques. Même si cela peut paraître inattendu, après un examen plus approfondi des données, une explication raisonnable apparaît. Les campagnes de spam Rescoms utilisaient le(s) même(s) fichier(s) malveillant(s) dans les campagnes par courrier électronique envoyées à un plus grand nombre d'utilisateurs, augmentant ainsi le nombre de personnes ayant rencontré le logiciel malveillant, tout en maintenant un faible nombre de fichiers différents. Cela ne s'est pas produit au cours des périodes précédentes, car Rescoms n'a presque jamais été utilisé en combinaison avec AceCryptor. Une autre raison de la diminution du nombre d'échantillons uniques est que certaines familles populaires ont apparemment arrêté (ou presque arrêté) d'utiliser AceCryptor comme CaaS de référence. Un exemple est le malware Danabot qui a cessé d’utiliser AceCryptor ; également, l'éminent RedLine Stealer dont les utilisateurs ont cessé d'utiliser AceCryptor, sur la base d'une diminution de plus de XNUMX % des échantillons d'AceCryptor contenant ce malware.

Comme le montre la figure 2, AceCryptor distribue toujours, outre Rescoms, des échantillons de nombreuses familles de logiciels malveillants, tels que SmokeLoader, le ransomware STOP et le voleur Vidar.

Au premier semestre 2023, les pays les plus touchés par les logiciels malveillants emballés par AceCryptor étaient le Pérou, le Mexique, l'Égypte et la Turquie, où le Pérou, avec 4,700 3, a enregistré le plus grand nombre d'attaques. Les campagnes de spam de Rescoms ont radicalement modifié ces statistiques au cours du second semestre. Comme le montre la figure 26,000, les logiciels malveillants fournis avec AceCryptor ont touché principalement les pays européens. Le pays de loin le plus touché est la Pologne, où ESET a empêché plus de 1 2023 attaques ; viennent ensuite l’Ukraine, l’Espagne et la Serbie. Et il convient de mentionner que dans chacun de ces pays, les produits ESET ont empêché plus d’attaques que dans le pays le plus touché au premier semestre XNUMX, le Pérou.

Les échantillons d'AceCryptor que nous avons observés au cours du deuxième semestre contenaient souvent deux familles de logiciels malveillants comme charge utile : Rescoms et SmokeLoader. Un pic en Ukraine a été provoqué par SmokeLoader. Ce fait a déjà été mentionné par le NSDC ukrainien. En revanche, en Pologne, en Slovaquie, en Bulgarie et en Serbie, l'augmentation de l'activité a été provoquée par AceCryptor contenant Rescoms comme charge utile finale.

Campagnes Rescoms

Au premier semestre 2023, nous avons constaté dans notre télémétrie moins d’une centaine d’incidents d’échantillons AceCryptor contenant des Rescoms. Au cours du second semestre, Rescoms est devenu la famille de logiciels malveillants la plus répandue proposée par AceCryptor, avec plus de 32,000 4 visites. Plus de la moitié de ces tentatives ont eu lieu en Pologne, suivie par la Serbie, l'Espagne, la Bulgarie et la Slovaquie (Figure XNUMX).

Campagnes en Pologne

Grâce à la télémétrie d'ESET, nous avons pu observer huit campagnes de spam importantes ciblant la Pologne au cours du deuxième semestre 2. Comme le montre la figure 2023, la majorité d'entre elles ont eu lieu en septembre, mais il y a également eu des campagnes en août et décembre.

Au total, ESET a enregistré plus de 26,000 2 de ces attaques en Pologne au cours de cette période. Toutes les campagnes de spam ciblaient des entreprises en Pologne et tous les e-mails avaient des objets très similaires concernant les offres BXNUMXB destinées aux entreprises victimes. Pour paraître aussi crédible que possible, les attaquants ont intégré les astuces suivantes dans les spams :

• Adresses e-mail auxquelles ils envoyaient des spams à partir de domaines imités d'autres sociétés. Les attaquants ont utilisé un TLD différent, modifié une lettre dans le nom d'une entreprise ou l'ordre des mots dans le cas d'un nom d'entreprise composé de plusieurs mots (cette technique est connue sous le nom de typosquatting).
• Le plus remarquable est que plusieurs campagnes impliquées compromis de messagerie commerciale – les attaquants ont abusé des comptes de messagerie précédemment compromis d'autres employés de l'entreprise pour envoyer des courriers indésirables. De cette façon, même si la victime potentielle recherchait les signaux d’alarme habituels, ils n’étaient tout simplement pas là et l’e-mail semblait aussi légitime qu’il aurait pu l’être.

Les attaquants ont fait leurs recherches et ont utilisé les noms d’entreprises polonaises existantes et même les noms et coordonnées d’employés/propriétaires existants pour signer ces e-mails. Cela a été fait pour que dans le cas où une victime tente de rechercher le nom de l'expéditeur sur Google, la recherche aboutisse, ce qui pourrait l'amener à ouvrir la pièce jointe malveillante.

• Le contenu des courriers indésirables était dans certains cas plus simple mais dans de nombreux cas (comme dans l'exemple de la figure 6) assez élaboré. Ces versions plus élaborées doivent être considérées comme dangereuses car elles s'écartent du modèle standard du texte générique, qui est souvent criblé d'erreurs grammaticales.

L'e-mail présenté dans la figure 6 contient un message suivi d'informations sur le traitement des informations personnelles effectué par l'expéditeur présumé et la possibilité « d'accéder au contenu de vos données et le droit de rectification, de suppression, de limitation des restrictions de traitement, le droit au transfert de données ». , le droit de soulever une objection et le droit de déposer une plainte auprès de l’autorité de contrôle ». Le message lui-même peut être traduit ainsi :

Cher Monsieur,

Je suis Sylwester [expurgé] de [expurgé]. Votre entreprise nous a été recommandée par un partenaire commercial. Veuillez citer la liste de commandes ci-jointe. Veuillez également nous informer des modalités de paiement.

Nous attendons avec impatience votre réponse et la poursuite de la discussion.

-

Meilleures salutations,

Les pièces jointes dans toutes les campagnes semblaient assez similaires (Figure 7). Les e-mails contenaient en pièce jointe une archive ou un fichier ISO nommé offre/demande (bien sûr en polonais), parfois accompagné d'un numéro de commande. Ce fichier contenait un exécutable AceCryptor qui décompressait et lançait Rescoms.

Sur la base du comportement du malware, nous supposons que le but de ces campagnes était d'obtenir des informations d'identification de messagerie et de navigateur, et ainsi d'obtenir un premier accès aux entreprises ciblées. Bien qu'on ne sache pas si les informations d'identification ont été recueillies pour le groupe qui a mené ces attaques ou si ces informations d'identification volées seraient ensuite vendues à d'autres acteurs malveillants, il est certain qu'une compromission réussie ouvre la possibilité de nouvelles attaques, en particulier de la part des attaques actuellement populaires, attaques de rançongiciels.

Il est important de préciser que Rescoms RAT peut être acheté ; c’est pourquoi de nombreux acteurs malveillants l’utilisent dans leurs opérations. Ces campagnes ne sont pas seulement liées par la similarité des cibles, la structure des pièces jointes, le texte des e-mails ou les astuces et techniques utilisées pour tromper les victimes potentielles, mais également par certaines propriétés moins évidentes. Dans le logiciel malveillant lui-même, nous avons pu trouver des artefacts (par exemple, l'ID de licence pour Rescoms) qui relient ces campagnes, révélant que bon nombre de ces attaques ont été menées par un seul acteur malveillant.

Campagnes en Slovaquie, Bulgarie et Serbie

Au cours des mêmes périodes que les campagnes en Pologne, la télémétrie ESET a également enregistré des campagnes en cours en Slovaquie, en Bulgarie et en Serbie. Ces campagnes ciblaient également principalement les entreprises locales et nous pouvons même trouver des artefacts dans le malware lui-même liant ces campagnes au même acteur menaçant qui a mené les campagnes en Pologne. La seule chose significative qui a changé était, bien sûr, la langue utilisée dans les courriers indésirables pour être adaptée à ces pays spécifiques.

Campagnes en Espagne

Outre les campagnes mentionnées précédemment, l'Espagne a également connu une vague de spams avec Rescoms comme charge utile finale. Même si nous pouvons confirmer qu’au moins une des campagnes a été menée par le même acteur menaçant que dans les cas précédents, d’autres campagnes ont suivi un schéma quelque peu différent. De plus, même les artefacts qui étaient les mêmes dans les cas précédents différaient dans ceux-ci et, de ce fait, nous ne pouvons pas conclure que les campagnes en Espagne provenaient du même endroit.

Conclusion

Au cours du second semestre 2023, nous avons détecté un changement dans l’utilisation d’AceCryptor, un cryptor populaire utilisé par plusieurs acteurs malveillants pour regrouper de nombreuses familles de logiciels malveillants. Même si la prévalence de certaines familles de logiciels malveillants comme RedLine Stealer a diminué, d'autres acteurs de la menace ont commencé à l'utiliser ou l'ont utilisé encore plus pour leurs activités et AceCryptor est toujours aussi performant. Dans ces campagnes, AceCryptor a été utilisé pour cibler plusieurs pays européens et pour extraire des informations. ou obtenez un accès initial à plusieurs entreprises. Les logiciels malveillants impliqués dans ces attaques étaient distribués dans des courriers indésirables, qui étaient dans certains cas assez convaincants ; parfois, le spam était même envoyé à partir de comptes de messagerie légitimes, mais abusés. Étant donné que l’ouverture de pièces jointes à de tels e-mails peut avoir de graves conséquences pour vous ou votre entreprise, nous vous conseillons d’être conscient de ce que vous ouvrez et d’utiliser un logiciel de sécurité des points finaux fiable, capable de détecter les logiciels malveillants.

Pour toute question concernant nos recherches publiées sur WeLiveSecurity, veuillez nous contacter à menaceintel@eset.com.
ESET Research propose des rapports d'intelligence APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .

IoCs

Une liste complète des indicateurs de compromission (IoC) peut être trouvée dans notre GitHub référentiel.

Fichiers

SHA-1	Nom de fichier	Détection	Description
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Pièce jointe malveillante issue d'une campagne de spam menée en Serbie en décembre 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne en septembre 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne et en Bulgarie en septembre 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Pièce jointe malveillante provenant d'une campagne de spam menée en Serbie en septembre 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Pièce jointe malveillante provenant d'une campagne de spam menée en Bulgarie en septembre 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne en août 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Pièce jointe malveillante provenant d'une campagne de spam menée en Serbie en août 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Pièce jointe malveillante provenant d'une campagne de spam menée en Bulgarie en août 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Pièce jointe malveillante provenant d'une campagne de spam menée en Slovaquie en août 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Pièce jointe malveillante provenant d'une campagne de spam menée en Bulgarie en décembre 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne en septembre 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne en septembre 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_andre.7z	Win32/Kryptik.HUOZ	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne en septembre 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Pièce jointe malveillante provenant d'une campagne de spam menée en Serbie en septembre 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne en décembre 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień i szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Pièce jointe malveillante provenant d'une campagne de spam menée en Pologne en septembre 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Pièce jointe malveillante issue d'une campagne de spam réalisée en Espagne en août 2023.

Techniques d'ATT&CK D'ONGLET

Ce tableau a été construit avec Version 14 du cadre MITRE ATT&CK.

Tactique	ID	Nom	Description
Reconnaissance	T1589.002	Recueillir des informations sur l'identité des victimes : adresses e-mail	Les adresses e-mail et les coordonnées (achetées ou recueillies auprès de sources accessibles au public) ont été utilisées dans des campagnes de phishing visant à cibler des entreprises dans plusieurs pays.
Développement des ressources	T1586.002	Comptes compromis : comptes de messagerie	Les attaquants ont utilisé des comptes de messagerie compromis pour envoyer des e-mails de phishing dans le cadre de campagnes de spam afin d'augmenter la crédibilité des courriers indésirables.
	T1588.001	Obtenir des capacités : logiciels malveillants	Les attaquants ont acheté et utilisé AceCryptor et Rescoms pour des campagnes de phishing.
Accès initial	T1566	Phishing	Les attaquants ont utilisé des messages de phishing contenant des pièces jointes malveillantes pour compromettre les ordinateurs et voler des informations à des entreprises dans plusieurs pays européens.
	T1566.001	Hameçonnage : pièce jointe de harponnage	Les attaquants ont utilisé des messages de spearphishing pour compromettre les ordinateurs et voler des informations à des entreprises dans plusieurs pays européens.
Internationaux	T1204.002	Exécution utilisateur : fichier malveillant	Les attaquants comptaient sur les utilisateurs ouvrant et lançant des fichiers malveillants avec des logiciels malveillants emballés par AceCryptor.
Accès aux informations d'identification	T1555.003	Informations d'identification des magasins de mots de passe : informations d'identification des navigateurs Web	Les attaquants ont tenté de voler les informations d'identification des navigateurs et des clients de messagerie.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/