Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via Remote-Access-Tool (RAT) Rescoms festgestellt.
Zwischen dem ersten und zweiten Halbjahr 2023 hat sich die Anzahl erkannter Attacken verdreifacht: 42.000 ESET Nutzer weltweit gerieten ins Visier von Cyberkriminellen und konnten geschützt werden. Betroffen waren vor allem Unternehmen in Zentraleuropa sowie Spanien. Novum dieser Attacken: Zum ersten Mal überhaupt griffen Hacker, die das Remote-Access-Tool (RAT) Rescoms für Angriffe verwendeten, auf AceCryptor zurück, eine Tarn-Software für schadhafte Programme. Ziel der Kampagnen waren Zugangsdaten für E-Mail- und Browser-Konten von Unternehmen in den jeweiligen Ländern, die den Grundstein für zukünftige Angriffe legten.
Getarnte Remote-Access-Tool-Angriffe
„Mit dieser Kampagne wollten Cyberkriminelle so viele Informationen wie möglich abgreifen. Dazu nutzen sie ‚klassische‘ Spam-Nachrichten, die in vielen Fällen äußerst überzeugend formuliert waren und sogar teilweise von übernommenen E-Mail-Konten versendet wurden“, sagt ESET Forscher Jakub Kaloč, der die jüngste Angriffskampagne entdeckt hat. „Das Öffnen von Anhängen aus solchen E-Mails kann schwerwiegende Folgen für Unternehmen haben. Wir raten deshalb, vorsichtig bei Mails mit Anhängen zu sein und eine zuverlässige Sicherheitssoftware zu verwenden.“
AceCryptor und Rescoms – Ratten mit Tarntechnologie
AceCryptor ist ein sogenannter Cryptor-as-a-Service (CaaS). Dabei handelt es sich um Software, die ihre Nutzlast, meist verschiedene Malware-Familien, vor der Identifizierung und Bekämpfung durch Sicherheitslösungen schützen soll. Dafür kommen verschiedene Techniken zum Einsatz, die z. B. Debugging und Analyse durch Antiviren-Software erschweren. Bereits im vergangenen Jahr hat sich ESET mit AceCryptor beschäftigt und die Funktionsweise der Software aufgedeckt.
Im aktuellen Fall kombinierten Hacker die beiden Technologien und versendeten durch AceCryptor verschleierte Rescoms-Software in mehreren Spam-E-Mail-Kampagnen an eine Vielzahl von Nutzern. Opfer, die auf die Masche hereinfielen, installierten sich unwissentlich die Fernzugriffssoftware, über die die Hacker dann Zugangsdaten erbeuteten. Es ist nicht bekannt, ob sie diese Daten für sich selbst sammelten oder an andere Cyberkriminelle weiterverkauften. Sicher ist aber, dass eine erfolgreiche Kompromittierung das Tor für weitere Attacken öffnet, insbesondere für Ransomware-Angriffe.
Verbreitung über täuschend echt aussehende Spam-Mails
Spam-Kampagnen, die auf Unternehmen in Polen abzielten, bestanden aus E-Mails mit sehr ähnlichen Betreffzeilen über B2B-Angebote für die Opferunternehmen. Um möglichst glaubwürdig zu wirken, recherchierten die Angreifer im Vorhinein bestehende polnische Firmennamen sowie Namen und Kontaktinformationen von Mitarbeitern bzw. Eigentümern, die sie in ihren Mails angaben. Suchten Opfer online nach dem Namen des Absenders, stießen sie auf legitime Webseiten und waren eher gewillt, die bösartigen Anhänge zu öffnen.
Parallel zu den Kampagnen in Polen registrierte ESET laufende Kampagnen in der Slowakei, Bulgarien und Serbien. Die Spam-E-Mails hier waren auch in der jeweiligen Landessprache verfasst. Darüber hinaus gab es auch in Spanien eine Welle von Spam-E-Mails mit Rescoms als Nutzlast.
Zielländer der Hacker änderten sich im Laufe von 2023
In der ersten Jahreshälfte 2023 waren Peru, Mexiko, Ägypten und die Türkei am stärksten von Malware betroffen, die durch AceCryptor getarnt war. Peru verzeichnete mit 4.700 die meisten Angriffe. Die Kampagne in der zweiten Jahreshälfte betraf vor allem europäische Länder.
AceCryptor-Proben, die ESET in der zweiten Jahreshälfte 2023 untersucht hat, enthielten häufig zwei Malware-Familien als Nutzlast: Rescoms und SmokeLoader, eine Backdoor mit der Cyberkriminelle weitere Malware nachladen können. SmokeLoader kam häufig bei Cyberangriffen in der Ukraine zum Einsatz. In Polen, der Slowakei, Bulgarien und Serbien hingegen war Rescoms häufigste Nutzlast von AceCryptor.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.