ESET Araştırması, AceCryptor saldırılarında önemli bir artış kaydetti; tespitler 2023'ün ilk ve ikinci yarısı arasında üç katına çıktı.
Geçtiğimiz aylarda araştırmacılar, AceCryptor'un kullanım biçiminde önemli bir değişiklik kaydetti; Rescoms (Remcos olarak da bilinir) yayan saldırganlar, önceden böyle olmayan bir şekilde AceCryptor'u kullanmaya başladı.
Rescoms, tehdit aktörleri tarafından sıklıkla kötü niyetli amaçlarla kullanılan bir uzaktan erişim aracıdır (RAT). AceCryptor, kötü amaçlı yazılımların algılanmasını engellemek için onları gizleyen bir hizmet olarak kriptolayıcıdır.
ESET araştırmacıları, konuşlandırılan kötü amaçlı yazılımın davranışına dayanarak, bu kampanyaların, hedeflenen şirketlere yönelik daha sonraki saldırılar için e-posta ve tarayıcı kimlik bilgilerini elde etmeyi amaçladığını varsayıyor. AceCryptor ile paketlenmiş Rescoms RAT örneklerinin çoğu, Orta Avrupa (Polonya, Slovakya), Balkanlar (Bulgaristan, Sırbistan) ve İspanya dahil olmak üzere Avrupa ülkelerini hedef alan çoklu spam kampanyalarında ilk uzlaşma vektörü olarak kullanıldı.
“Bu kampanyalarda AceCryptor, birden fazla Avrupa ülkesini hedeflemek, bilgi çıkarmak veya birden fazla şirkete ilk erişim sağlamak için kullanıldı. Bu saldırılardaki kötü amaçlı yazılımlar, bazı durumlarda oldukça ikna edici olan spam e-postalar halinde dağıtılıyordu; Hatta bazen spam meşru ancak kötüye kullanılan e-posta hesaplarından bile gönderiliyordu,” diyor Rescoms kampanyasını içeren en son AceCryptor kampanyasını keşfeden ESET araştırmacısı Jakub Kaloč. “Bu tür e-postalardaki ekleri açmanın sizin veya şirketiniz için ciddi sonuçları olabileceğinden, ne açtığınızın farkında olmanızı ve bu kötü amaçlı yazılımı tespit edebilecek güvenilir uç nokta güvenlik yazılımı kullanmanızı öneririz” diye ekliyor.
2023'ün ilk yarısında AceCryptor tarafından paketlenen kötü amaçlı yazılımlardan en çok etkilenen ülkeler Peru, Meksika, Mısır ve Türkiye oldu. Peru, 4.700 saldırıyla en önemli saldırı sayısını gerçekleştirdi. Rescom'un spam kampanyaları yılın ikinci yarısında bu istatistikleri önemli ölçüde değiştirdi. AceCryptor paketli kötü amaçlı yazılım öncelikle Avrupa ülkelerini etkiledi.
2023'ün ikinci yarısında gözlemledikleri AceCryptor örnekleri, yük olarak genellikle iki kötü amaçlı yazılım ailesi içeriyordu: Rescoms ve SmokeLoader. SmokeLoader Ukrayna'da tespit edilen bir ani artışa neden oldu. Öte yandan Rescom'ları son yük olarak içeren AceCryptor, Polonya, Slovakya, Bulgaristan ve Sırbistan'da faaliyetlerin artmasına neden oldu.
Polonya'daki işletmeleri hedef alan tüm spam kampanyalarında, kurban şirketlere yönelik B2B teklifleri hakkında benzer konu satırlarına sahip e-postalar vardı. Saldırganlar, mümkün olduğu kadar inandırıcı görünmek için, bu e-postaları imzalarken mevcut Polonyalı şirket adlarını, hatta mevcut çalışan/sahip adlarını ve iletişim bilgilerini araştırdı ve kullandı. Bu, bir kurbanın gönderenin adını Google'da araması durumunda aramanın başarılı olması ve bunun da kurbanın kötü amaçlı eki açmasına yol açabilmesi için yapıldı.
Kimlik bilgilerinin bu saldırıları gerçekleştiren grup için mi toplandığı yoksa çalınan kimlik bilgilerinin daha sonra diğer tehdit aktörlerine mi satılacağı bilinmemekle birlikte, başarılı bir uzlaşmanın, özellikle fidye yazılımı saldırıları olmak üzere daha fazla saldırı olasılığını açtığı kesindir.
ESET telemetrisi, Polonya'daki kampanyalara paralel olarak Slovakya, Bulgaristan ve Sırbistan'da devam eden kampanyaları da kaydetti. Elbette tek önemli fark, spam e-postalarda kullanılan dilin bu belirli ülkeler için yerelleştirilmesiydi. Daha önce bahsedilen kampanyaların yanı sıra, İspanya'da son yük olarak Rescom'ların kullanıldığı spam e-postalarda da bir artış yaşandı.