Istraživači kompanije ESET otkrili su hiljade novih infekcija malverom AceCryptor, koje su deo kampanje usmerene protiv određenih zemalja i ciljeva (kompanija u određenim zemljama) u Evropi. Istraživači ove antivirus kompanije godinama prate AceCryptor, a za najnoviju kampanju kažu da se razlikuje od prethodnih jer su napadači proširili vrste zlonamernog koda upakovanog u malver.
AceCryptor se obično koristi sa malverom Remcos ili Rescoms, moćnim alatom za daljinski nadzor koji se više puta koristio protiv ciljeva u Ukrajini. Pored Remcos-a i još jednog poznatog malvera imena SmokeLoader, istraživači su rekli da da sada AceCryptor distribuira malvere kao što su ransomware STOP i Vidar.
Primetili su i nekoliko razlika u napadima u zavisnosti od ciljanih zemalja. U napadima u Ukrajini korišćen je SmokeLoader, dok je u napadima u Poljskoj, Slovačkoj, Bugarskoj i Srbiji korišćen Remcos. U ovim kampanjama, AceCryptor je korišćen za ciljanje više evropskih zemalja i za dobijanje informacija ili početnog pristupa u više kompanija. Malver u ovim napadima distribuiran je u spam imejlovima, koji su u nekim slučajevima bili prilično ubedljivi; ponekad je spam pošta čak bila poslata sa legitimnih, ali zloupotrebljenih email naloga.
AceCryptor ciljao ceo svet, u Evropi Srbiju i Poljsku
Cilj najnovije kampanje je da se dobiju podaci za prijavljivanje na email naloge i pretraživače za dalje napade na ciljane kompanije, a ESET je rekao da je velika većina uzoraka malvera koje su videli korišćena kao inicijalni vektor kompromisa. Prema podacima pomenute kompanije, u prvoj polovini 2023. zemlje koje su najviše pogođene malverom AceCryptor bile su Peru, Meksiko, Egipat i Turska.
U drugoj polovini 2023. hakeri su se prebacili na evropske zemlje, ciljajući Poljsku sa više od 26.000 napada, a zatim i Srbiju, Španiju, Bugarsku i Slovačku koje su pretrpele hiljade napada.
U napadima na poljska preduzeća korišćene su teme koje su uključivale B2B ponude za kompanije žrtava. Hakeri su pokušali da mejlovi izgledaju legitimno koristeći imena poljskih kompanija i imena zaposlenih u njima. U Srbiji, Slovačkoj i Bugarskoj hakeri su uglavnom napadali lokalne kompanije, a jedino po čemu su se razlikovali napadi u ovim zemljama od napada u Poljskoj je, naravno, jezik koji se koristi u spam mejlovima. ESET je rekao i da nije jasno da li hakeri nameravaju da zadrže ukradene kredencijale za sebe ili da ih prodaju drugim napadačima. Takođe, iako ESET nije mogao da identifikuje izvor napada, Remcos i SmokeLoader su više puta koristili hakeri koji rade za rusku vladu.