Rescoms cavalca ondate di spam di AceCryptor

L'anno scorso ESET ha pubblicato a post sul blog su AceCryptor – uno dei cryptors-as-a-service (CaaS) più popolari e diffusi, operativo dal 2016. Per il primo semestre del 1 abbiamo pubblicato statistiche dalla nostra telemetria, secondo la quale le tendenze dei periodi precedenti sono continuate senza cambiamenti drastici.

Tuttavia, nella seconda metà del 2 abbiamo registrato un cambiamento significativo nel modo in cui viene utilizzato AceCryptor. Non solo abbiamo visto e bloccato più del doppio degli attacchi nel secondo semestre del 2023 rispetto al primo semestre del 2, ma abbiamo anche notato che Rescoms (noto anche come Remcos) ha iniziato a utilizzare AceCryptor, cosa che prima non accadeva.

La stragrande maggioranza dei campioni RAT di Rescoms contenenti AceCryptor sono stati utilizzati come vettore di compromissione iniziale in molteplici campagne di spam rivolte a paesi europei tra cui Polonia, Slovacchia, Bulgaria e Serbia.

Punti chiave di questo post sul blog:

• AceCryptor ha continuato a fornire servizi di compressione a decine di famiglie di malware molto note nella seconda metà del 2.
• Anche se ben noto ai prodotti di sicurezza, la diffusione di AceCryptor non mostra segni di calo: al contrario, il numero degli attacchi è aumentato notevolmente a causa delle campagne Rescoms.
• AceCryptor è il criptovaluta preferito dagli autori di minacce che prendono di mira paesi e obiettivi specifici (ad esempio, aziende in un determinato paese).
• Nella seconda metà del 2, ESET ha rilevato numerose campagne AceCryptor+Rescoms nei paesi europei, principalmente Polonia, Bulgaria, Spagna e Serbia.
• L'autore delle minacce dietro queste campagne in alcuni casi ha abusato di account compromessi per inviare e-mail di spam al fine di farli apparire il più credibili possibile.
• L'obiettivo delle campagne di spam era ottenere credenziali memorizzate nei browser o nei client di posta elettronica che, in caso di compromissione riuscita, avrebbero aperto la possibilità di ulteriori attacchi.

AceCryptor nella seconda metà del 2

Nella prima metà del 2023 ESET ha protetto circa 13,000 utenti dal malware ricco di AceCryptor. Nella seconda metà dell’anno, si è verificato un massiccio aumento della diffusione di malware contenenti AceCryptor, con i nostri rilevamenti triplicati, con il risultato di oltre 42,000 utenti ESET protetti in tutto il mondo. Come si può osservare nella Figura 1, abbiamo rilevato diverse ondate improvvise di diffusione di malware. Questi picchi mostrano molteplici campagne di spam mirate ai paesi europei in cui AceCryptor ha confezionato un RAT di Rescoms (discusso più nel Campagne Rescom sezione).

Inoltre, se confrontiamo il numero grezzo di campioni: nella prima metà del 2023, ESET ha rilevato oltre 23,000 campioni dannosi univoci di AceCryptor; nella seconda metà del 2023 abbiamo visto e rilevato “solo” oltre 17,000 campioni unici. Anche se questo potrebbe essere inaspettato, dopo uno sguardo più attento ai dati c’è una spiegazione ragionevole. Le campagne di spam di Rescoms hanno utilizzato gli stessi file dannosi nelle campagne e-mail inviate a un numero maggiore di utenti, aumentando così il numero di persone che hanno riscontrato il malware, ma mantenendo comunque basso il numero di file diversi. Ciò non accadeva nei periodi precedenti poiché Rescoms non veniva quasi mai utilizzato in combinazione con AceCryptor. Un altro motivo per la diminuzione del numero di campioni univoci è perché alcune famiglie popolari apparentemente hanno smesso (o quasi) di utilizzare AceCryptor come CaaS di riferimento. Un esempio è il malware Danabot che ha smesso di utilizzare AceCryptor; inoltre, l'importante RedLine Stealer i cui utenti hanno smesso di utilizzare AceCryptor, sulla base di una diminuzione superiore al 60% dei campioni AceCryptor contenenti quel malware.

Come mostrato nella Figura 2, AceCryptor distribuisce ancora, oltre a Rescoms, campioni di molte famiglie di malware diverse, come SmokeLoader, STOP ransomware e Vidar stealer.

Nella prima metà del 2023, i paesi più colpiti dal malware confezionato da AceCryptor sono stati Perù, Messico, Egitto e Turchia, dove il Perù, con 4,700, ha subito il maggior numero di attacchi. Le campagne spam di Rescom hanno cambiato radicalmente queste statistiche nella seconda metà dell'anno. Come si può vedere nella Figura 3, il malware ricco di AceCryptor ha colpito soprattutto i paesi europei. Il paese di gran lunga più colpito è la Polonia, dove ESET ha impedito oltre 26,000 attacchi; seguono Ucraina, Spagna e Serbia. Inoltre, vale la pena ricordare che in ciascuno di questi paesi i prodotti ESET hanno impedito più attacchi rispetto al paese più colpito nel primo semestre del 1, il Perù.

I campioni di AceCryptor che abbiamo osservato nell'H2 spesso contenevano due famiglie di malware come payload: Rescoms e SmokeLoader. Un picco in Ucraina è stato causato da SmokeLoader. Questo fatto è già stato menzionato dal NSDC ucraino. D’altro canto in Polonia, Slovacchia, Bulgaria e Serbia l’aumento dell’attività è stato causato da AceCryptor contenente Rescoms come carico utile finale.

Campagne Rescom

Nella prima metà del 2023, abbiamo riscontrato nella nostra telemetria meno di un centinaio di casi di campioni di AceCryptor con Rescom all'interno. Durante la seconda metà dell'anno, Rescoms è diventata la famiglia di malware più diffusa confezionata da AceCryptor, con oltre 32,000 riscontri. Oltre la metà di questi tentativi è avvenuta in Polonia, seguita da Serbia, Spagna, Bulgaria e Slovacchia (Figura 4).

Campagne in Polonia

Grazie alla telemetria ESET siamo stati in grado di osservare otto significative campagne di spam rivolte alla Polonia nella seconda metà del 2. Come si può vedere nella Figura 2023, la maggior parte di esse si è verificata a settembre, ma ci sono state anche campagne in agosto e dicembre.

In totale, ESET ha registrato oltre 26,000 di questi attacchi in Polonia in questo periodo. Tutte le campagne di spam avevano come obiettivo le aziende polacche e tutte le e-mail avevano oggetti molto simili riguardo alle offerte B2B per le aziende vittime. Per sembrare il più credibili possibile, gli aggressori hanno incorporato i seguenti trucchi nelle e-mail di spam:

• Indirizzi e-mail a cui inviavano e-mail di spam da domini imitati di altre società. Gli aggressori hanno utilizzato un TLD diverso, modificato una lettera nel nome di un'azienda o l'ordine delle parole nel caso di un nome aziendale composto da più parole (questa tecnica è nota come typosquatting).
• La cosa più degna di nota è che sono coinvolte più campagne compromissione della posta elettronica aziendale – gli aggressori hanno abusato degli account di posta elettronica precedentemente compromessi di altri dipendenti dell’azienda per inviare e-mail di spam. In questo modo, anche se la potenziale vittima cercava i soliti segnali d'allarme, questi semplicemente non c'erano e l'e-mail sembrava legittima quanto avrebbe potuto.

Gli aggressori hanno effettuato le proprie ricerche e utilizzato nomi di società polacche esistenti e persino nomi di dipendenti/proprietari e informazioni di contatto esistenti per firmare tali e-mail. Ciò è stato fatto in modo che, nel caso in cui una vittima tentasse di cercare su Google il nome del mittente, la ricerca avesse esito positivo, il che potrebbe indurla ad aprire l'allegato dannoso.

• Il contenuto delle e-mail di spam era in alcuni casi più semplice ma in molti casi (come nell'esempio nella Figura 6) piuttosto elaborato. Soprattutto queste versioni più elaborate dovrebbero essere considerate pericolose poiché si discostano dallo schema standard del testo generico, che è spesso pieno di errori grammaticali.

L'e-mail mostrata in Figura 6 contiene un messaggio seguito dall'informativa sul trattamento dei dati personali effettuato dal presunto mittente e dalla possibilità di “accedere al contenuto dei propri dati e dal diritto di rettifica, cancellazione, limitazione delle limitazioni del trattamento, diritto al trasferimento dei dati , diritto di opposizione, nonché diritto di proporre reclamo all'autorità di controllo”. Il messaggio stesso può essere tradotto così:

Caro Signore,

Sono Sylwester [redatta] da [redatta]. La vostra azienda ci è stata consigliata da un partner commerciale. Si prega di citare l'elenco degli ordini allegato. Vi preghiamo di informarci anche sui termini di pagamento.

Attendiamo con ansia la vostra risposta e ulteriori discussioni.

-

I migliori saluti,

Gli allegati in tutte le campagne sembravano abbastanza simili (Figura 7). Le e-mail contenevano un archivio allegato o un file ISO denominato offerta/richiesta (ovviamente in polacco), in alcuni casi accompagnato anche da un numero d'ordine. Quel file conteneva un eseguibile di AceCryptor che scompattava e lanciava Rescoms.

In base al comportamento del malware presumiamo che l'obiettivo di queste campagne fosse ottenere le credenziali di posta elettronica e del browser e quindi ottenere il primo accesso alle aziende prese di mira. Sebbene non sia noto se le credenziali siano state raccolte per il gruppo che ha effettuato questi attacchi o se quelle credenziali rubate siano state successivamente vendute ad altri autori di minacce, è certo che un compromesso riuscito apre la possibilità per ulteriori attacchi, soprattutto da parte di, attualmente popolari, attacchi ransomware.

È importante precisare che Rescoms RAT può essere acquistato; quindi molti autori di minacce lo utilizzano nelle loro operazioni. Queste campagne non sono collegate solo dalla somiglianza del target, dalla struttura degli allegati, dal testo dell'e-mail o da trucchi e tecniche utilizzati per ingannare le potenziali vittime, ma anche da alcune proprietà meno ovvie. Nel malware stesso, siamo riusciti a trovare artefatti (ad esempio, l'ID di licenza per Rescoms) che collegano insieme quelle campagne, rivelando che molti di questi attacchi sono stati sferrati da un unico attore della minaccia.

Campagne in Slovacchia, Bulgaria e Serbia

Negli stessi periodi di tempo delle campagne in Polonia, la telemetria ESET ha registrato anche campagne in corso in Slovacchia, Bulgaria e Serbia. Queste campagne hanno preso di mira principalmente aziende locali e possiamo persino trovare artefatti nel malware stesso che collegano queste campagne allo stesso autore di minacce che ha condotto le campagne in Polonia. L’unica cosa significativa che è cambiata è stata, ovviamente, la lingua utilizzata nelle e-mail di spam per essere adatta a quei paesi specifici.

Campagne in Spagna

Oltre alle campagne menzionate in precedenza, anche la Spagna ha registrato un’ondata di e-mail di spam con Rescoms come carico finale. Anche se possiamo confermare che almeno una delle campagne è stata condotta dallo stesso autore di minacce dei casi precedenti, le altre campagne hanno seguito uno schema leggermente diverso. Inoltre, anche i manufatti uguali nei casi precedenti differivano in questi e, per questo motivo, non possiamo concludere che le campagne in Spagna abbiano avuto origine dallo stesso luogo.

Conclusione

Durante la seconda metà del 2023 abbiamo rilevato un cambiamento nell’utilizzo di AceCryptor, un popolare sistema di crittografia utilizzato da più autori di minacce per comprimere molte famiglie di malware. Anche se la prevalenza di alcune famiglie di malware come RedLine Stealer è diminuita, altri autori di minacce hanno iniziato a usarlo o lo hanno utilizzato ancora di più per le loro attività e AceCryptor è ancora forte. In queste campagne AceCryptor è stato utilizzato per colpire più paesi europei e per estrarre informazioni o ottenere l'accesso iniziale a più società. Il malware in questi attacchi è stato distribuito tramite e-mail di spam, che in alcuni casi si sono rivelate piuttosto convincenti; a volte lo spam veniva inviato anche da account di posta elettronica legittimi, ma abusati. Poiché l'apertura degli allegati di tali e-mail può avere gravi conseguenze per te o la tua azienda, ti consigliamo di essere consapevole di ciò che stai aprendo e di utilizzare un software di sicurezza endpoint affidabile in grado di rilevare il malware.

Per qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattaci all'indirizzo threatintel@eset.com.
ESET Research offre report di intelligence APT privati ​​e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .

IOCS

Un elenco completo degli indicatori di compromesso (IoC) è disponibile nel nostro Repository GitHub.

File

SHA-1	Nome del file	rivelazione	Descrizione
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	PR18213.iso	Win32/Kryptik.HVOB	Allegato dannoso derivante dalla campagna di spam condotta in Serbia nel dicembre 2023.
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023.
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	Allegato dannoso derivante da una campagna di spam condotta in Polonia e Bulgaria nel settembre 2023.
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	Allegato dannoso derivante da una campagna di spam condotta in Serbia nel settembre 2023.
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	Allegato dannoso derivante da una campagna di spam condotta in Bulgaria nel settembre 2023.
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	Allegato dannoso derivante da una campagna di spam condotta in Polonia nell'agosto 2023.
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	Allegato dannoso derivante dalla campagna di spam condotta in Serbia nell'agosto 2023.
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	Allegato dannoso derivante da una campagna di spam condotta in Bulgaria nell'agosto 2023.
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	Allegato dannoso derivante da una campagna di spam condotta in Slovacchia nell'agosto 2023.
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	Allegato dannoso derivante da una campagna di spam condotta in Bulgaria nel dicembre 2023.
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie ofertowe.7z	Win32/Kryptik.HUQF	Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023.
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023.
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023.
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	Allegato dannoso derivante da una campagna di spam condotta in Serbia nel settembre 2023.
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	Allegato dannoso derivante da una campagna di spam condotta in Polonia nel dicembre 2023.
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	lista zamówień e szczegółowe zdjęcia.arj	Win32/Kryptik.HUPK	Allegato dannoso derivante da una campagna di spam condotta in Polonia nel settembre 2023.
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	Allegato dannoso derivante da una campagna di spam condotta in Spagna nell'agosto 2023.

Tecniche MITRE ATT&CK

Questa tabella è stata creata utilizzando Versione 14 del framework MITRE ATT&CK.

tattica	ID	Nome	Descrizione
Ricognizione	T1589.002	Raccogliere informazioni sull'identità della vittima: indirizzi e-mail	Indirizzi e-mail e informazioni di contatto (acquistati o raccolti da fonti disponibili al pubblico) sono stati utilizzati nelle campagne di phishing per prendere di mira aziende in più paesi.
Sviluppo delle risorse	T1586.002	Account compromessi: account di posta elettronica	Gli aggressori hanno utilizzato account e-mail compromessi per inviare e-mail di phishing in campagne di spam per aumentare la credibilità delle e-mail di spam.
	T1588.001	Ottieni funzionalità: malware	Gli aggressori hanno acquistato e utilizzato AceCryptor e Rescoms per campagne di phishing.
Accesso iniziale	T1566	Phishing	Gli aggressori hanno utilizzato messaggi di phishing con allegati dannosi per compromettere i computer e rubare informazioni ad aziende in diversi paesi europei.
	T1566.001	Phishing: allegato spearphishing	Gli aggressori hanno utilizzato messaggi di spearphishing per compromettere i computer e rubare informazioni da aziende in diversi paesi europei.
	T1204.002	Esecuzione utente: file dannoso	Gli aggressori facevano affidamento sugli utenti che aprivano e lanciavano file dannosi con malware confezionato da AceCryptor.
Accesso alle credenziali	T1555.003	Credenziali da archivi password: Credenziali da browser web	Gli aggressori hanno tentato di rubare informazioni sulle credenziali da browser e client di posta elettronica.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/