ESET Research alerte face à l’augmentation des attaques AceCryptor qui ciblent l’Europe centrale

Date:

  • Au cours du second semestre 2023, ESET a détecté plusieurs campagnes « AceCryptor » reposant sur l'outil d'accès à distance (RAT) Rescoms.
  • Ces campagnes ciblent des pays européens, principalement la Pologne, la Bulgarie, la Slovaquie, l’Espagne et la Serbie.
  • Dans certains cas, les acteurs malveillants ont utilisé des comptes compromis pour envoyer des messages d’hameçonnage (afin de les rendre aussi crédibles que possible).
  • L'objectif des campagnes de messages était d'obtenir des informations d'identification stockées dans des navigateurs ou des comptes mails. En cas de compromission réussie, ces informations ouvriraient la voie à d'autres attaques.

AceCryptor est un logiciel de chiffrement, malveillant, disponible sur demande et payant à l’usage. Celui-ci obscurcit d’autres logiciels malveillants pour limiter leur détection. ESET Research a enregistré une augmentation spectaculaire des attaques AceCryptoror, leurs détections ayant triplé entre le premier et le second semestre 2023. De plus, au cours des derniers mois, ESET a enregistré un changement significatif de l’usage d’AceCryptor, celui-ci est maintenant associé à Rescoms (ou Remcos).

Rescoms est un outil d’accès à distance (RAT) populaire chez les cybercriminels. Sur la base du comportement des logiciels malveillants déployés, les chercheurs d’ESET supposent que l’objectif de ces campagnes est d’obtenir des informations d’identification de messagerie et de navigateur, l’objectif final étant de mener des attaques contre les entreprises ciblées.

La grande majorité des échantillons RAT Rescoms obscurcit par AceKror ont été utilisés comme vecteur de compromission initial dans de multiples campagnes de spam ciblant des pays européens, notamment l’Europe centrale (Pologne, Slovaquie), les Balkans (Bulgarie, Serbie) et l’Espagne.

« Dans ces campagnes, AceCryptor a été utilisé pour cibler plusieurs pays européens et pour extraire des informations ou obtenir un accès initial à plusieurs entreprises. Les logiciels malveillants utilisés pour ces attaques ont été distribués dans des spams, qui étaient dans certains cas très convaincants ; parfois, le spam était même envoyé à partir de comptes de messagerie légitimes, mais compromis », explique Jakub Kaloč, chercheur chez ESET, qui a découvert la dernière campagne AceCryptor avec Rescoms. « Étant donné que l’ouverture des pièces jointes de ces e-mails peut avoir de graves conséquences pour vous ou votre entreprise, nous vous conseillons d’être conscient de ce que vous ouvrez et d’utiliser un logiciel de sécurité fiable capable de détecter ce logiciel malveillant », ajoute-t-il.

Au cours du premier semestre 2023, les pays les plus touchés par les logiciels malveillants AceCryptor étaient le Pérou, le Mexique, l’Egypte et la Türkiye. Le Pérou, avec 4 700, enregistrant le plus grand nombre d’attaques. Les campagnes de spam de Rescoms ont considérablement modifié ces statistiques au cours du second semestre de l’année. Les logiciels malveillants obscurcis avec AceKror ont touché principalement les pays européens.

Les échantillons AceCryptor que nous avons observés au cours du second semestre 2023 contenaient souvent deux familles de logiciels malveillants comme charge utile : Rescoms et SmokeLoader. Un pic dans les statistiques a été causé par SmokeLoader en Ukraine et d’autre part, en Pologne, en Slovaquie, en Bulgarie et en Serbie, on note une augmentation d’activité causée par AceCryptor et Rescoms comme charge utile finale.

Toutes les campagnes de spam ciblant les entreprises en Pologne comportaient des e-mails avec des objets très similaires. Elles concernaient des offres B2B pour les entreprises victimes. Pour avoir l’air aussi crédible que possible, les attaquants ont effectué des recherches et ont utilisé des noms d’entreprises polonaises existantes et même des noms d’employés/propriétaires existants, et des coordonnées réelles en signature de ces e-mails.

Cela a été fait pour que dans le cas où une victime rechercherait le nom de l’expéditeur sur Google, la recherche aussi véridique que possible, amènerait la victime à ouvrir la pièce jointe malveillante.

A ce stade, il n’est pas possible de déterminer si les informations d’identification ont été collectées pour le groupe qui a mené ces attaques. Ni si les informations volées furent ensuite vendues à d’autres acteurs de la menace. Toutefois, il est certain qu’une compromission réussie ouvre la possibilité d’autres attaques, en particulier à des attaques de ransomware.

Parallèlement aux campagnes en Pologne, la télémétrie ESET a également enregistré des campagnes en Slovaquie, en Bulgarie et en Serbie. La seule différence significative est la langue utilisée pour correspondre à celle du pays visé. Outre les campagnes mentionnées précédemment, l’Espagne a également connu une recrudescence des spams avec Rescoms comme charge utile finale.

Carte des pays touchés par AceCryptor, selon la télémétrie ESET

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Entrepreneuriat durable en Méditerranée du Sud : Tunis fédère les acteurs régionaux autour d’un Manifeste pour la transition verte

À l’issue d’une conférence internationale à Tunis, les acteurs de l’entrepreneuriat durable en Méditerranée du Sud ont adopté un Manifeste structurant autour de dix axes clés pour accélérer la transition vers l’économie verte et circulaire.

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

A lire également
A lire également

ESET Research découvre deux nouvelles portes dérobées Windows du groupe espion FishMonger

Baptisées WIN_DRV et WIN_PLUS, ces portes dérobées exploitent des pilotes noyau pour dissimuler leurs connexions réseau et résister à la détection.

Samsung confirme le Galaxy Ring 2 et ouvre la porte aux utilisateurs d’iPhone

Samsung travaille sur la prochaine génération de sa bague connectée et pourrait, pour la première fois, l'ouvrir aux utilisateurs d'iPhone — un virage stratégique face à Apple et Oura.

ESET démantèle Amadey et Stealc : deux malwares-as-a-service neutralisés dans une opération mondiale

Trois ans de surveillance, des milliers d'indicateurs partagés, des serveurs neutralisés dans le monde entier : ESET Research a joué un rôle central dans le démantèlement de deux cybermenaces majeures opérant en mode Malware-as-a-Service.

Câble MEDUSA : Orange Tunisie dote la Tunisie d’une nouvelle autoroute numérique méditerranéenne

Le câble MEDUSA, dont Orange Tunisie est propriétaire de la section tunisienne et de la station d'atterrissement de Bizerte, offre une capacité de 24 Tbps par paire de fibres, propulsant la Tunisie au rang de hub numérique régional.

Samsung Galaxy Watch 9 et Ultra 2 : ce que les fuites dévoilent avant le lancement de juillet

Avant l'Unpacked de juillet 2026, les fuites sur la Galaxy Watch 9 et l'Ultra 2 se précisent : nouveau SoC, autonomie en hausse et design anguleux pour le modèle premium.

Samsung révolutionne le confort des appareils connectés grâce au design computationnel

Samsung combine intelligence artificielle, jumeaux numériques et robots de test pour concevoir des Galaxy Buds4 et Galaxy Watch8 adaptés à l'anatomie de chaque utilisateur à l'échelle mondiale.

Epson Tunisie sponsor du 8e Congrès de chirurgie cardiaque : technologie au service de la santé

À l'occasion du 8e congrès de l'ATCCV, Epson a mis en avant des solutions d'étiquetage, de numérisation et d'impression médicale, confirmant son engagement auprès des secteurs professionnels stratégiques en Tunisie.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET décroche, seul, le statut de Challenger dans le Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une troisième reconnaissance consécutive qui confirme la solidité de sa plateforme ESET PROTECT face à une concurrence toujours plus dense.