ESET-Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen festgestellt. Zwischen dem ersten und zweiten Halbjahr 2023 hat sich die Anzahl erkannter Attacken verdreifacht: 42.000 ESET Nutzer weltweit gerieten ins Visier von Cyberkriminellen und konnten geschützt werden.
Betroffen waren vor allem Unternehmen in Zentraleuropa sowie Spanien. Novum dieser Attacken: Zum ersten Mal überhaupt griffen Hacker, die das Remote-Access-Tool (RAT) Rescoms für Angriffe verwendeten, auf AceCryptor zurück, eine Tarn-Software für schadhafte Programme. Ziel der Kampagnen waren Zugangsdaten für E-Mail- und Browser-Konten von Unternehmen in den jeweiligen Ländern, die den Grundstein für zukünftige Angriffe legten.
„Mit dieser Kampagne wollten Cyberkriminelle so viele Informationen wie möglich abgreifen. Dazu nutzen sie ‚klassische‘ Spam-Nachrichten, die in vielen Fällen äußerst überzeugend formuliert waren und sogar teilweise von übernommenen E-Mail-Konten versendet wurden“, sagt ESET-Forscher Jakub Kaloč, der die jüngste Angriffskampagne entdeckt hat. „Das Öffnen von Anhängen aus solchen E-Mails kann schwerwiegende Folgen für Unternehmen haben. Wir raten deshalb, vorsichtig bei Mails mit Anhängen zu sein und eine zuverlässige Sicherheitssoftware zu verwenden.“
AceCryptor und Rescoms – Ratten mit Tarntechnologie
AceCryptor ist ein sogenannter Cryptor-as-a-Service (CaaS). Dabei handelt es sich um Software, die ihre Nutzlast, meist verschiedene Malware-Familien, vor der Identifizierung und Bekämpfung durch Sicherheitslösungen schützen soll. Dafür kommen verschiedene Techniken zum Einsatz, die zum Beispiel Debugging und Analyse durch Antiviren-Software erschweren. Bereits im vergangenen Jahr hat sich ESET mit AceCryptor beschäftigt und die Funktionsweise der Software aufgedeckt.
Unter Remote Access Tools (RATs) verstehen IT-Experten Software, mit der Nutzer andere Systeme aus der Ferne steuern können. Meist für legitime Zwecke genutzt, missbrauchen Cyberkriminelle sie häufig, um auf fremde Systeme zuzugreifen, Daten abzuführen oder weitere Schadsoftware zu installieren. Rescoms bzw. Remcos (Remote Control and Surveillance, Fernsteuerung und Überwachung) gehört zu diesen RATs.
Im aktuellen Fall kombinierten Hacker die beiden Technologien und versendeten durch AceCryptor verschleierte Rescoms-Software in mehreren Spam-E-Mail-Kampagnen an eine Vielzahl von Nutzern. Opfer, die auf die Masche hereinfielen, installierten sich unwissentlich die Fernzugriffssoftware, über die die Hacker dann Zugangsdaten erbeuteten. Es ist nicht bekannt, ob sie diese Daten für sich selbst sammelten oder an andere Cyberkriminelle weiterverkauften. Sicher ist aber, dass eine erfolgreiche Kompromittierung das Tor für weitere Attacken öffnet, insbesondere für Ransomware-Angriffe.
Verbreitung über täuschend echt aussehende Spam-Mails
Spam-Kampagnen, die auf Unternehmen in Polen abzielten, bestanden aus E-Mails mit sehr ähnlichen Betreffzeilen über B2B-Angebote für die Opferunternehmen. Um möglichst glaubwürdig zu wirken, recherchierten die Angreifer im Vorhinein bestehende polnische Firmennamen sowie Namen und Kontaktinformationen von Mitarbeitern bzw. Eigentümern, die sie in ihren Mails angaben. Suchten Opfer online nach dem Namen des Absenders, stießen sie auf legitime Webseiten und waren eher gewillt, die bösartigen Anhänge zu öffnen.
Parallel zu den Kampagnen in Polen registrierte ESET laufende Kampagnen in der Slowakei, Bulgarien und Serbien. Die Spam-E-Mails hier waren auch in der jeweiligen Landessprache verfasst. Darüber hinaus gab es auch in Spanien eine Welle von Spam-E-Mails mit Rescoms als Nutzlast.
Zielländer der Hacker änderten sich im Laufe von 2023
In der ersten Jahreshälfte 2023 waren Peru, Mexiko, Ägypten und die Türkei am stärksten von Malware betroffen, die durch AceCryptor getarnt war. Peru verzeichnete mit 4.700 die meisten Angriffe. Die Kampagne in der zweiten Jahreshälfte betraf vor allem europäische Länder.
AceCryptor-Proben, die ESET in der zweiten Jahreshälfte 2023 untersucht hat, enthielten häufig zwei Malware-Familien als Nutzlast: Rescoms und SmokeLoader, eine Backdoor mit der Cyberkriminelle weitere Malware nachladen können. SmokeLoader kam häufig bei Cyberangriffen in der Ukraine zum Einsatz. In Polen, der Slowakei, Bulgarien und Serbien hingegen war Rescoms häufigste Nutzlast von AceCryptor.
Weitere Informationen:
Weitere technische Informationen über die AceCryptor- und Rescoms-RAT-Kampagne finden Sie im Blogpost „Rescoms rides waves of AceCryptor spam“ auf WeLiveSecurity.com.
www.eset.de