Les pirates informatiques attaquent de nombreuses entreprises à travers l'Europe avec des logiciels malveillants furtifs. Les chercheurs d'ESET ont remarqué une augmentation spectaculaire des attaques dites AceCryptor via l'outil d'accès à distance (RAT) Rescoms.
Entre le premier et le second semestre 2023, le nombre d'attaques détectées a triplé : 42.000 XNUMX utilisateurs d'ESET dans le monde ont été ciblés par des cybercriminels et ont été protégés. Les entreprises d’Europe centrale et d’Espagne ont été particulièrement touchées. Quoi de neuf à propos de ces attaques : pour la toute première fois, les pirates informatiques qui ont utilisé l'outil d'accès à distance (RAT) de Rescoms pour leurs attaques ont eu recours à AceCryptor, un logiciel de camouflage pour les programmes malveillants. Les campagnes ciblaient les données d'accès aux comptes de messagerie et de navigateur des entreprises des pays respectifs, jetant ainsi les bases de futures attaques.
Attaques furtives d'outils d'accès à distance
« Avec cette campagne, les cybercriminels voulaient obtenir le plus d'informations possible. Pour ce faire, ils utilisent des spams « classiques », qui dans de nombreux cas se sont révélés extrêmement convaincants et ont même été envoyés à partir de comptes de messagerie piratés », explique Jakub Kaloč, chercheur d'ESET, qui a découvert la dernière campagne d'attaque. « L’ouverture des pièces jointes de tels e-mails peut avoir de graves conséquences pour les entreprises. Nous vous conseillons donc d’être prudent avec les emails contenant des pièces jointes et d’utiliser un logiciel de sécurité fiable.
AceCryptor et Rescoms – Rats dotés d'une technologie de masquage
AceCryptor est ce qu'on appelle Cryptor-as-a-Service (CaaS). Il s'agit d'un logiciel destiné à protéger sa charge utile, généralement diverses familles de logiciels malveillants, contre l'identification et la lutte par des solutions de sécurité. Diverses techniques sont utilisées à cet effet, par ex. B. Rendre le débogage et l'analyse par un logiciel antivirus plus difficiles. L'année dernière, ESET s'est penché sur AceCryptor et a découvert le fonctionnement du logiciel.
Dans le cas présent, les pirates ont combiné les deux technologies et ont envoyé le logiciel Rescoms déguisé en AceCryptor à un grand nombre d'utilisateurs dans le cadre de multiples campagnes de spam. Les victimes tombées dans le piège de l'arnaque ont installé sans le savoir le logiciel d'accès à distance, que les pirates ont ensuite utilisé pour obtenir des données d'accès. On ne sait pas s’ils ont collecté ces données pour eux-mêmes ou s’ils les ont vendues à d’autres cybercriminels. Ce qui est certain, cependant, c’est qu’un compromis réussi ouvre la porte à de nouvelles attaques, notamment des attaques de ransomwares.
Diffusion via des courriers indésirables qui semblent trompeusement réels
Les campagnes de spam ciblant les entreprises en Pologne consistaient en des e-mails avec des lignes d'objet très similaires concernant les offres B2B destinées aux entreprises victimes. Afin de paraître aussi crédibles que possible, les attaquants ont recherché au préalable les noms d'entreprises polonaises existantes ainsi que les noms et coordonnées des employés et des propriétaires, qu'ils ont fournis dans leurs e-mails. Lorsque les victimes recherchaient le nom de l'expéditeur en ligne, elles trouvaient des sites Web légitimes et étaient plus disposées à ouvrir les pièces jointes malveillantes.
Parallèlement aux campagnes en Pologne, ESET a enregistré des campagnes en cours en Slovaquie, en Bulgarie et en Serbie. Les spams ici ont également été rédigés dans la langue locale. En outre, il y a également eu une vague de spams avec Rescoms comme charge utile en Espagne.
Les pays cibles des pirates ont changé tout au long de 2023
Au premier semestre 2023, le Pérou, le Mexique, l'Égypte et la Turquie ont été les plus touchés par des logiciels malveillants déguisés par AceCryptor. Le Pérou a enregistré le plus grand nombre d'attaques avec 4.700 XNUMX. La campagne du second semestre a principalement touché les pays européens.
Les échantillons d'AceCryptor examinés par ESET au cours du second semestre 2023 contenaient souvent deux familles de logiciels malveillants comme charges utiles : Rescoms et SmokeLoader, une porte dérobée qui permet aux cybercriminels de recharger des logiciels malveillants supplémentaires. SmokeLoader a été fréquemment utilisé lors de cyberattaques en Ukraine. Cependant, en Pologne, en Slovaquie, en Bulgarie et en Serbie, la charge utile la plus courante de Rescom était AceCryptor.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.