Europa im Visier von Tarnkappen-Malware

März 20, 2024

Hacker greifen mit verschleierter Schadsoftware Unternehmen in ganz Europa an

ESET-Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen festgestellt. Zwischen dem ersten und zweiten Halbjahr 2023 hat sich die Anzahl erkannter Attacken verdreifacht: 42.000 ESET Nutzer weltweit gerieten ins Visier von Cyberkriminellen und konnten geschützt werden. Betroffen waren vor allem Unternehmen in Zentraleuropa sowie Spanien. Novum dieser Attacken: Zum ersten Mal überhaupt griffen Hacker, die das Remote-Access-Tool (RAT) Rescoms für Angriffe verwendeten, auf AceCryptor zurück, eine Tarn-Software für schadhafte Programme. Ziel der Kampagnen waren Zugangsdaten für E-Mail- und Browser-Konten von Unternehmen in den jeweiligen Ländern, die den Grundstein für zukünftige Angriffe legten.

„Mit dieser Kampagne wollten Cyberkriminelle so viele Informationen wie möglich abgreifen. Dazu nutzen sie ‚klassische‘ Spam-Nachrichten, die in vielen Fällen äußerst überzeugend formuliert waren und sogar teilweise von übernommenen E-Mail-Konten versendet wurden“, sagt ESET-Forscher Jakub Kaloč, der die jüngste Angriffskampagne entdeckt hat. „Das Öffnen von Anhängen aus solchen E-Mails kann schwerwiegende Folgen für Unternehmen haben. Wir raten deshalb, vorsichtig bei Mails mit Anhängen zu sein und eine zuverlässige Sicherheitssoftware zu verwenden.“

AceCryptor und Rescoms – Ratten mit Tarntechnologie

AceCryptor ist ein sogenannter Cryptor-as-a-Service (CaaS). Dabei handelt es sich um Software, die ihre Nutzlast, meist verschiedene Malware-Familien, vor der Identifizierung und Bekämpfung durch Sicherheitslösungen schützen soll. Dafür kommen verschiedene Techniken zum Einsatz, die zum Beispiel Debugging und Analyse durch Antiviren-Software erschweren. Bereits im vergangenen Jahr hat sich ESET mit AceCryptor beschäftigt und die Funktionsweise der Software aufgedeckt.

Unter Remote Access Tools (RATs) verstehen IT-Experten Software, mit der Nutzer andere Systeme aus der Ferne steuern können. Meist für legitime Zwecke genutzt, missbrauchen Cyberkriminelle sie häufig, um auf fremde Systeme zuzugreifen, Daten abzuführen oder weitere Schadsoftware zu installieren. Rescoms bzw. Remcos (Remote Control and Surveillance, Fernsteuerung und Überwachung) gehört zu diesen RATs.

Im aktuellen Fall kombinierten Hacker die beiden Technologien und versendeten durch AceCryptor verschleierte Rescoms-Software in mehreren Spam-E-Mail-Kampagnen an eine Vielzahl von Nutzern. Opfer, die auf die Masche hereinfielen, installierten sich unwissentlich die Fernzugriffssoftware, über die die Hacker dann Zugangsdaten erbeuteten. Es ist nicht bekannt, ob sie diese Daten für sich selbst sammelten oder an andere Cyberkriminelle weiterverkauften. Sicher ist aber, dass eine erfolgreiche Kompromittierung das Tor für weitere Attacken öffnet, insbesondere für Ransomware-Angriffe.

Verbreitung über täuschend echt aussehende Spam-Mails

Spam-Kampagnen, die auf Unternehmen in Polen abzielten, bestanden aus E-Mails mit sehr ähnlichen Betreffzeilen über B2B-Angebote für die Opferunternehmen. Um möglichst glaubwürdig zu wirken, recherchierten die Angreifer im Vorhinein bestehende polnische Firmennamen sowie Namen und Kontaktinformationen von Mitarbeitern bzw. Eigentümern, die sie in ihren Mails angaben. Suchten Opfer online nach dem Namen des Absenders, stießen sie auf legitime Webseiten und waren eher gewillt, die bösartigen Anhänge zu öffnen.

Parallel zu den Kampagnen in Polen registrierte ESET laufende Kampagnen in der Slowakei, Bulgarien und Serbien. Die Spam-E-Mails hier waren auch in der jeweiligen Landessprache verfasst. Darüber hinaus gab es auch in Spanien eine Welle von Spam-E-Mails mit Rescoms als Nutzlast.

Zielländer der Hacker änderten sich im Laufe von 2023

In der ersten Jahreshälfte 2023 waren Peru, Mexiko, Ägypten und die Türkei am stärksten von Malware betroffen, die durch AceCryptor getarnt war. Peru verzeichnete mit 4.700 die meisten Angriffe. Die Kampagne in der zweiten Jahreshälfte betraf vor allem europäische Länder.

AceCryptor-Proben, die ESET in der zweiten Jahreshälfte 2023 untersucht hat, enthielten häufig zwei Malware-Familien als Nutzlast: Rescoms und SmokeLoader, eine Backdoor mit der Cyberkriminelle weitere Malware nachladen können. SmokeLoader kam häufig bei Cyberangriffen in der Ukraine zum Einsatz. In Polen, der Slowakei, Bulgarien und Serbien hingegen war Rescoms häufigste Nutzlast von AceCryptor.

Weitere technische Informationen über die AceCryptor- und Rescoms-RAT-Kampagne finden Sie im Blogpost „Rescoms rides waves of AceCryptor spam auf WeLiveSecurity.com.

Related Articles

Alle News im Überblick

Alle News im Überblick

View Post 21.04.2024 NIS2: Tech-Experten kommentieren die neue EU-Richtlinie 21.04.2024 3M: Erstes selbstaufladendes Kommunikations- und Gehörschutz-Headset 20.04.2024 Forschende der FH St. Pölten publizieren neuen Artikel über audiovisuelle Datenanalyse 20.04.2024...

Vom Ohren öffnen und hinschauen

Vom Ohren öffnen und hinschauen

Forschende der FH St. Pölten publizieren neuen Artikel über audiovisuelle Datenanalyse Forschende der Fachhochschule St. Pölten publizierten einen State-of-the Art-Report für integrierte audiovisuelle Datenanalyse im Rahmen des Projekts SoniVis. Das Team von SoniVis...

Neueste Entwicklungen im Bereich des Flughafenmanagements

Neueste Entwicklungen im Bereich des Flughafenmanagements

SITA stellt neueste Entwicklungen im Bereich des Flughafenmanagements vor Markteinführung einer KI-gestützten Plattform nach Test mit GREATER TORONTO AIRPORTS AUTHORITY in Kanada vor SITA,Technologieunternehmen der Luftverkehrsbranche, hat auf der Passenger Terminal...

Share This