Europa im Visier von Tarnkappen-Malware

März 20, 2024

Hacker greifen mit verschleierter Schadsoftware Unternehmen in ganz Europa an

ESET-Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen festgestellt. Zwischen dem ersten und zweiten Halbjahr 2023 hat sich die Anzahl erkannter Attacken verdreifacht: 42.000 ESET Nutzer weltweit gerieten ins Visier von Cyberkriminellen und konnten geschützt werden. Betroffen waren vor allem Unternehmen in Zentraleuropa sowie Spanien. Novum dieser Attacken: Zum ersten Mal überhaupt griffen Hacker, die das Remote-Access-Tool (RAT) Rescoms für Angriffe verwendeten, auf AceCryptor zurück, eine Tarn-Software für schadhafte Programme. Ziel der Kampagnen waren Zugangsdaten für E-Mail- und Browser-Konten von Unternehmen in den jeweiligen Ländern, die den Grundstein für zukünftige Angriffe legten.

„Mit dieser Kampagne wollten Cyberkriminelle so viele Informationen wie möglich abgreifen. Dazu nutzen sie ‚klassische‘ Spam-Nachrichten, die in vielen Fällen äußerst überzeugend formuliert waren und sogar teilweise von übernommenen E-Mail-Konten versendet wurden“, sagt ESET-Forscher Jakub Kaloč, der die jüngste Angriffskampagne entdeckt hat. „Das Öffnen von Anhängen aus solchen E-Mails kann schwerwiegende Folgen für Unternehmen haben. Wir raten deshalb, vorsichtig bei Mails mit Anhängen zu sein und eine zuverlässige Sicherheitssoftware zu verwenden.“

AceCryptor und Rescoms – Ratten mit Tarntechnologie

AceCryptor ist ein sogenannter Cryptor-as-a-Service (CaaS). Dabei handelt es sich um Software, die ihre Nutzlast, meist verschiedene Malware-Familien, vor der Identifizierung und Bekämpfung durch Sicherheitslösungen schützen soll. Dafür kommen verschiedene Techniken zum Einsatz, die zum Beispiel Debugging und Analyse durch Antiviren-Software erschweren. Bereits im vergangenen Jahr hat sich ESET mit AceCryptor beschäftigt und die Funktionsweise der Software aufgedeckt.

Unter Remote Access Tools (RATs) verstehen IT-Experten Software, mit der Nutzer andere Systeme aus der Ferne steuern können. Meist für legitime Zwecke genutzt, missbrauchen Cyberkriminelle sie häufig, um auf fremde Systeme zuzugreifen, Daten abzuführen oder weitere Schadsoftware zu installieren. Rescoms bzw. Remcos (Remote Control and Surveillance, Fernsteuerung und Überwachung) gehört zu diesen RATs.

Im aktuellen Fall kombinierten Hacker die beiden Technologien und versendeten durch AceCryptor verschleierte Rescoms-Software in mehreren Spam-E-Mail-Kampagnen an eine Vielzahl von Nutzern. Opfer, die auf die Masche hereinfielen, installierten sich unwissentlich die Fernzugriffssoftware, über die die Hacker dann Zugangsdaten erbeuteten. Es ist nicht bekannt, ob sie diese Daten für sich selbst sammelten oder an andere Cyberkriminelle weiterverkauften. Sicher ist aber, dass eine erfolgreiche Kompromittierung das Tor für weitere Attacken öffnet, insbesondere für Ransomware-Angriffe.

Verbreitung über täuschend echt aussehende Spam-Mails

Spam-Kampagnen, die auf Unternehmen in Polen abzielten, bestanden aus E-Mails mit sehr ähnlichen Betreffzeilen über B2B-Angebote für die Opferunternehmen. Um möglichst glaubwürdig zu wirken, recherchierten die Angreifer im Vorhinein bestehende polnische Firmennamen sowie Namen und Kontaktinformationen von Mitarbeitern bzw. Eigentümern, die sie in ihren Mails angaben. Suchten Opfer online nach dem Namen des Absenders, stießen sie auf legitime Webseiten und waren eher gewillt, die bösartigen Anhänge zu öffnen.

Parallel zu den Kampagnen in Polen registrierte ESET laufende Kampagnen in der Slowakei, Bulgarien und Serbien. Die Spam-E-Mails hier waren auch in der jeweiligen Landessprache verfasst. Darüber hinaus gab es auch in Spanien eine Welle von Spam-E-Mails mit Rescoms als Nutzlast.

Zielländer der Hacker änderten sich im Laufe von 2023

In der ersten Jahreshälfte 2023 waren Peru, Mexiko, Ägypten und die Türkei am stärksten von Malware betroffen, die durch AceCryptor getarnt war. Peru verzeichnete mit 4.700 die meisten Angriffe. Die Kampagne in der zweiten Jahreshälfte betraf vor allem europäische Länder.

AceCryptor-Proben, die ESET in der zweiten Jahreshälfte 2023 untersucht hat, enthielten häufig zwei Malware-Familien als Nutzlast: Rescoms und SmokeLoader, eine Backdoor mit der Cyberkriminelle weitere Malware nachladen können. SmokeLoader kam häufig bei Cyberangriffen in der Ukraine zum Einsatz. In Polen, der Slowakei, Bulgarien und Serbien hingegen war Rescoms häufigste Nutzlast von AceCryptor.

Weitere technische Informationen über die AceCryptor- und Rescoms-RAT-Kampagne finden Sie im Blogpost „Rescoms rides waves of AceCryptor spam auf WeLiveSecurity.com.

Related Articles

Alle News im Überblick

Alle News im Überblick

15.07.2024 Hessen: „Ein friedliches und sicheres Fußballfest im Herzen von Europa.“ 15.07.2024 Bucher Automation AG setzt ein starkes Zeichen 15.07.2024 41 Prozent mehr Ransomware-Angriffe seit 2020 14.07.2024 Metaverse: Jedes zehnte Unternehmen sieht sein...

„Ein friedliches und sicheres Fußballfest im Herzen von Europa.“

„Ein friedliches und sicheres Fußballfest im Herzen von Europa.“

Innenminister Roman Poseck (Foto), Frankfurts Polizeipräsident Stefan Müller und der Leiter der Abteilung Einsatz Thomas Schmidl ziehen positive Bilanz zur Fußball-Europameisterschaft 2024 Die Fußballeuropameisterschaft hat zwischen dem 14. Juni und 14. Juli 2024 in...

Niederländischer Staat verliert Millionen durch Polizeieinsätze

Niederländischer Staat verliert Millionen durch Polizeieinsätze

Durch die Proteste der Polizisten für eine bessere Frühpension verliert die niederländische Staatskasse jede Woche mindestens 1,5 Millionen Euro, schreibt De Telegraaf. Seit dem 7. Mai behalten die Beamten ihre Strafzettel für kleinere Vergehen in der Tasche. Eine...

Share This