El año pasado, ESET publicó un blog sobre AceCryptor, uno de los criptors como servicio (CaaS) más populares y prevalentes que operan desde 2016. Para el primer semestre de 2023 publicamos estadísticas de nuestra telemetría, según las cuales se observa que las tendencias de períodos anteriores continuaron sin cambios drásticos.

Sin embargo, en el segundo semestre de 2023 registramos un cambio significativo en el uso de AceCryptor. No sólo hemos visto y bloqueado más del doble de ataques en H2 2023 en comparación con H1 2023, sino que también notamos que los Rescoms (también conocidos como Remcos) empezaron a utilizar AceCryptor.

La gran mayoría de las muestras de RAT Rescoms empaquetadas con AceCryptor se utilizaron como vector de compromiso inicial en múltiples campañas de spam dirigidas a países europeos como Polonia, Eslovaquia, Bulgaria y Serbia.

Puntos clave de este blogpost:
  • AceCryptor continuó proporcionando servicios de empaquetado a decenas de familias de malware muy conocidas en el segundo semestre de 2023.
  • La prevalencia de AceCryptor no muestra indicios de declive: al contrario, el número de ataques aumentó significativamente debido a las campañas de Rescoms.
  • AceCryptor es uno de los criptomineros preferidos por los actores de amenazas que se dirigen a países y objetivos específicos (por ejemplo, empresas de un país concreto).
  • En el segundo semestre de 2023, ESET detectó múltiples campañas de AceCryptor+Rescoms en países europeos, principalmente Polonia, Bulgaria, España y Serbia.
  • El actor de la amenaza detrás de esas campañas en algunos casos abusó de cuentas comprometidas para enviar correos electrónicos de spam con el fin de que parecieran lo más creíbles posible.
  • El objetivo de las campañas de spam era obtener credenciales almacenadas en navegadores o clientes de correo electrónico que, en caso de éxito, abrirían la posibilidad de nuevos ataques.

AceCryptor en H2 2023

En la primera mitad de 2023, ESET protegió a unos 13.000 usuarios del malware AceCryptor. En la segunda mitad del año, hubo un aumento masivo de malware AceCryptor propagándose, triplicando nuestras detecciones, lo que resultó en más de 42.000 usuarios de ESET protegidos en todo el mundo. Como puede observarse en la Figura 1, detectamos múltiples oleadas repentinas de propagación de malware. Estos picos muestran múltiples campañas de spam dirigidas a países europeos en los que AceCryptor empaquetaba una RAT Rescoms (más información en la sección de campañas Rescoms ).

Figure 1. Number of AceCryptor detections during the year 2023 (7-day moving average)
Figura 1. Número de detecciones de AceCryptor durante el año 2023 (media móvil de 7 días)

Además, si comparamos el número bruto de muestras: en la primera mitad de 2023, ESET detectó más de 23.000 muestras maliciosas únicas de AceCryptor; en la segunda mitad de 2023, vimos y detectamos "sólo" más de 17.000 muestras únicas. Aunque esto pueda resultar inesperado, tras un análisis más detallado de los datos existe una explicación razonable. Las campañas de spam de Rescoms utilizaron el mismo archivo o archivos maliciosos en campañas de correo electrónico enviadas a un mayor número de usuarios, aumentando así el número de personas que se encontraron con el malware, pero manteniendo bajo el número de archivos diferentes. Esto no ocurría en periodos anteriores, ya que Rescoms casi nunca se utilizaba en combinación con AceCryptor. Otra razón del descenso en el número de muestras únicas es que algunas familias populares aparentemente dejaron (o casi dejaron) de utilizar AceCryptor como su CaaS de referencia. Un ejemplo es el malware Danabot, que dejó de utilizar AceCryptor; también, el destacado RedLine Stealer, cuyos usuarios dejaron de utilizar tanto AceCryptor, basándose en un descenso superior al 60% en las muestras de AceCryptor que contenían ese malware.

Como puede verse en la figura 2, AceCryptor sigue distribuyendo, además de Rescoms, muestras de muchas familias de malware diferentes, como SmokeLoader, STOP ransomware y Vidar stealer.

Figure 2. Malware families packed inside AceCryptor in H2 2023
Figura 2. Familias de malware empaquetadas en AceCryptor  H2 2023

En el primer semestre de 2023, los países más afectados por el malware empaquetado por AceCryptor fueron Perú, México, Egipto y Türkiye, donde Perú, con 4.700, registró el mayor número de ataques. Las campañas de spam de Rescoms cambiaron drásticamente estas estadísticas en la segunda mitad del año. Como puede verse en la Figura 3, el malware repleto de AceCryptor afectó sobre todo a países europeos. El país más afectado con diferencia es Polonia, donde ESET evitó más de 26.000 ataques; le siguen Ucrania, España y Serbia. Y vale la pena mencionar que en cada uno de esos países los productos de ESET evitaron más ataques que en el país más afectado en el primer semestre de 2023, Perú.

Figure 3. Heatmap of countries affected by AceCryptor, according to ESET telemetry
Figura 3. Mapa de calor de los países afectados por AceCryptor, según la telemetría de ESET

Las muestras de AceCryptor que hemos observado en H2 a menudo contenían dos familias de malware como carga útil: Rescoms y SmokeLoader. Un pico en Ucrania fue causado por SmokeLoader. Este hecho ya fue mencionado por el NSDC de Ucrania. Por otra parte, en Polonia, Eslovaquia, Bulgaria y Serbia el aumento de la actividad fue causado por AceCryptor, que contenía Rescoms como carga útil final.

Campañas de Rescoms

En la primera mitad de 2023, vimos en nuestra telemetría menos de cien incidentes de muestras de AceCryptor con Rescoms en su interior. Durante la segunda mitad del año, Rescoms se convirtió en la familia de malware más prevalente empaquetada por AceCryptor, con más de 32.000 intentos. Más de la mitad de estos intentos se produjeron en Polonia, seguida de Serbia, España, Bulgaria y Eslovaquia (Figura 4).

Figure 4. Heatmap of European countries affected by AceCryptor-packed Rescoms during H2 2023
Figura 4. Mapa de calor de los países europeos afectados por Rescoms empaquetados con AceCryptor durante H2 2023, según la telemetría de ESET

Campañas en Polonia

Gracias a la telemetría de ESET, hemos podido observar ocho importantes campañas de spam dirigidas a Polonia en el segundo semestre de 2023. Como puede verse en la Figura 5, la mayoría de ellas se produjeron en septiembre, pero también hubo campañas en agosto y diciembre.

Figure 5. Timeline of Rescoms campaigns in Poland
Figura 5. Cronología de las campañas de Rescoms en Polonia (visitas diarias)

En total, ESET registró más de 26.000 de estos ataques en Polonia durante este periodo. Todas las campañas de spam iban dirigidas a empresas en Polonia y todos los correos electrónicos tenían líneas de asunto muy similares sobre ofertas B2B para las empresas víctimas. Para parecer lo más creíbles posible, los atacantes incorporaban los siguientes trucos en los correos electrónicos de spam:

  • Las direcciones de correo electrónico desde las que enviaban los correos spam imitaban dominios de otras empresas. Los atacantes utilizaban un TLD diferente, cambiaban una letra del nombre de la empresa o el orden de las palabras en el caso de un nombre de empresa con varias palabras (esta técnica se conoce como typosquatting).
  • Lo más destacable es que múltiples campañas implicaron el compromiso del correo electrónico de la empresa: los atacantes abusaron de cuentas de correo electrónico previamente comprometidas de otros empleados de la empresa para enviar mensajes de spam. De este modo, incluso si la víctima potencial buscaba las señales de alarma habituales, éstas no estaban allí, y el correo electrónico parecía tan legítimo como podría haberlo sido.

Los atacantes investigaron y utilizaron nombres de empresas polacas existentes e incluso nombres de empleados/propietarios existentes e información de contacto al firmar esos correos electrónicos. Esto se hizo para que, en el caso de que una víctima intentara buscar en Google el nombre del remitente, la búsqueda tuviera éxito, lo que podría llevarla a abrir el archivo adjunto malicioso.

  • El contenido de los correos electrónicos de spam era en algunos casos más sencillo, pero en muchos otros (como el ejemplo de la figura 6) bastante elaborado. Especialmente estas versiones más elaboradas deben considerarse peligrosas, ya que se desvían del patrón estándar del texto genérico, que suele estar plagado de errores gramaticales.

El correo electrónico de la figura 6 contiene un mensaje seguido de información sobre el tratamiento de datos personales realizado por el presunto remitente y la posibilidad de "acceder al contenido de sus datos y el derecho de rectificación, supresión, limitación de las restricciones de tratamiento, derecho a la transferencia de datos, derecho a plantear una objeción y derecho a presentar una reclamación ante la autoridad de control". El mensaje puede traducirse así:

Estimado Sr,

Soy Sylwester [suprimido] de [suprimido]. Su empresa nos fue recomendada por un socio comercial. Le ruego que nos facilite la lista de pedidos adjunta. Por favor, infórmenos también sobre las condiciones de pago.

Esperamos su respuesta y futuras conversaciones.

--

Saludos cordiales,

Figure 6. Example phishing email targeting Polish companies
Figura 6. Ejemplo de correo electrónico de phishing, digirido a empresas polacas, que contiene Rescoms con AceCryptor en el archivo adjunto.

Los archivos adjuntos de todas las campañas eran bastante similares (Figura 7). Los correos electrónicos contenían un archivo adjunto o un fichero ISO denominado oferta/consulta (por supuesto, en polaco), en algunos casos también acompañado de un número de pedido. Ese archivo contenía un ejecutable AceCryptor que desempaquetaba e iniciaba Rescoms.

Figure 7. Compromise chain of Rescoms campaigns
Figura 7. Cadena de compromiso de Rescoms

Basándonos en el comportamiento del malware, suponemos que el objetivo de estas campañas era obtener credenciales de correo electrónico y del navegador, y así obtener acceso inicial a las empresas objetivo. Aunque se desconoce si las credenciales se recopilaron para el grupo que llevó a cabo estos ataques o si esas credenciales robadas se venderían posteriormente a otros actores de amenazas, lo cierto es que un compromiso exitoso abre la posibilidad de nuevos ataques, especialmente de los, actualmente populares, ataques de ransomware.

Es importante señalar que la Rescoms RAT puede comprarse, por lo que muchos actores de amenazas la utilizan en sus operaciones. Estas campañas no sólo están conectadas por la similitud del objetivo, la estructura del adjunto, el texto del correo electrónico o los trucos y técnicas utilizados para engañar a las víctimas potenciales, sino también por algunas propiedades menos obvias. En el propio malware, pudimos encontrar artefactos (por ejemplo, el ID de licencia de Rescoms) que vinculan esas campañas entre sí, revelando que muchos de estos ataques fueron llevados a cabo por un mismo actor de la amenaza.

Campañas en Eslovaquia, Bulgaria y Serbia

Durante los mismos periodos de tiempo que las campañas en Polonia, la telemetría de ESET también registró campañas en curso en Eslovaquia, Bulgaria y Serbia. Estas campañas también se dirigían principalmente a empresas locales e incluso podemos encontrar artefactos en el propio malware que relacionan estas campañas con el mismo actor de amenazas que llevó a cabo las campañas en Polonia. Lo único significativo que cambió fue, por supuesto, el lenguaje utilizado en los mensajes de spam para adaptarse a esos países específicos.

Campañas en España

Aparte de las campañas mencionadas anteriormente, España también experimentó una oleada de correos electrónicos de spam con Rescoms como carga útil final. Aunque podemos confirmar que al menos una de las campañas fue llevada a cabo por el mismo actor de amenazas que en estos casos anteriores, otras campañas siguieron un patrón algo diferente. Además, incluso artefactos que eran los mismos en casos anteriores diferían en estos y, por ello, no podemos concluir que las campañas en España se originaran en el mismo lugar.

Conclusión

Durante la segunda mitad de 2023 detectamos un cambio en el uso de AceCryptor, un popular criptominero utilizado por múltiples actores de amenazas para empaquetar muchas familias de malware. Aunque la prevalencia de algunas familias de malware, como RedLine Stealer, disminuyó, otros actores de amenazas empezaron a utilizarlo o lo utilizaron aún más para sus actividades, y AceCryptor sigue funcionando con fuerza. En estas campañas, AceCryptor se utilizó para atacar varios países europeos y para extraer información u obtener acceso inicial a varias empresas. En estos ataques, el malware se distribuía en correos electrónicos no deseados, que en algunos casos eran bastante convincentes; a veces, el correo no deseado se enviaba incluso desde cuentas de correo electrónico legítimas, pero de las que se había abusado. Dado que abrir archivos adjuntos de este tipo de correos electrónicos puede tener graves consecuencias para usted o su empresa, le aconsejamos que sea consciente de lo que está abriendo y que utilice un software de seguridad de punto final fiable capaz de detectar el malware.

Para cualquier consulta sobre nuestras investigaciones publicadas en WeLiveSecurity, póngase en contacto con nosotros en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

IoCs

Puede encontrar una lista completa de Indicadores de Compromiso (IoCs) en nuestro repositorio GitHub.

Archivos

SHA-1

Filename

Detection

Description

7D99E7AD21B54F07E857
FC06E54425CD17DE3003

PR18213.iso

Win32/Kryptik.HVOB

Malicious attachment from spam campaign carried out in Serbia during December 2023.

7DB6780A1E09AEC6146E
D176BD6B9DF27F85CFC1

zapytanie.7z

Win32/Kryptik.HUNX

Malicious attachment from spam campaign carried out in Poland during September 2023.

7ED3EFDA8FC446182792
339AA14BC7A83A272F85

20230904104100858.7z

Win32/Kryptik.HUMX

Malicious attachment from spam campaign carried out in Poland and Bulgaria during September 2023.

9A6C731E96572399B236
DA9641BE904D142F1556

20230904114635180.iso

Win32/Kryptik.HUMX

Malicious attachment from spam campaign carried out in Serbia during September 2023.

57E4EB244F3450854E5B
740B95D00D18A535D119

SA092300102.iso

Win32/Kryptik.HUPK

Malicious attachment from spam campaign carried out in Bulgaria during September 2023.

178C054C5370E0DC9DF8
250CA6EFBCDED995CF09

zamowienie_135200.7z

Win32/Kryptik.HUMI

Malicious attachment from spam campaign carried out in Poland during August 2023.

394CFA4150E7D47BBDA1
450BC487FC4B970EDB35

PRV23_8401.iso

Win32/Kryptik.HUMF

Malicious attachment from spam campaign carried out in Serbia during August 2023.

3734BC2D9C321604FEA1
1BF550491B5FDA804F70

BP_50C55_20230
309_094643.7z

Win32/Kryptik.HUMF

Malicious attachment from spam campaign carried out in Bulgaria during August 2023.

71076BD712C2E3BC8CA5
5B789031BE222CFDEEA7

20_J402_MRO_EMS

Win32/Rescoms.B

Malicious attachment from spam campaign carried out in Slovakia during August 2023.

667133FEBA54801B0881
705FF287A24A874A400B

7360_37763.iso

Win32/Rescoms.B

Malicious attachment from spam campaign carried out in Bulgaria during December 2023.

AF021E767E68F6CE1D20
B28AA1B36B6288AFFFA5

zapytanie ofertowe.7z

Win32/Kryptik.HUQF

Malicious attachment from spam campaign carried out in Poland during September 2023.

BB6A9FB0C5DA4972EFAB
14A629ADBA5F92A50EAC

129550.7z

Win32/Kryptik.HUNC

Malicious attachment from spam campaign carried out in Poland during September 2023.

D2FF84892F3A4E4436BE
DC221102ADBCAC3E23DC

Zamowienie_ andre.7z

Win32/Kryptik.HUOZ

Malicious attachment from spam campaign carried out in Poland during September 2023.

DB87AA88F358D9517EEB
69D6FAEE7078E603F23C

20030703_S1002.iso

Win32/Kryptik.HUNI

Malicious attachment from spam campaign carried out in Serbia during September 2023.

EF2106A0A40BB5C1A74A
00B1D5A6716489667B4C

Zamowienie_830.iso

Win32/Kryptik.HVOB

Malicious attachment from spam campaign carried out in Poland during December 2023.

FAD97EC6447A699179B0
D2509360FFB3DD0B06BF

lista zamówień i szczegółowe zdjęcia.arj

Win32/Kryptik.HUPK

Malicious attachment from spam campaign carried out in Poland during September 2023.

FB8F64D2FEC152D2D135
BBE9F6945066B540FDE5

Pedido.iso

Win32/Kryptik.HUMF

Malicious attachment from spam campaign carried out in Spain during August 2023.

Técnicas ATT&CK de MITRE

Esta tabla se ha creado utilizando la versión 14 del marco MITRE ATT&CK.

Tactic

ID

Name

Description

Reconnaissance

T1589.002

Gather Victim Identity Information: Email Addresses

Email addresses and contact information (either bought or gathered from publicly available sources) were used in phishing campaigns to target companies across multiple countries.

Resource Development

T1586.002

Compromise Accounts: Email Accounts

Attackers used compromised email accounts to send phishing emails in spam campaigns to increase spam email’s credibility.

T1588.001

Obtain Capabilities: Malware

Attackers bought and used AceCryptor and Rescoms for phishing campaigns.

Initial Access

T1566

Phishing

Attackers used phishing messages with malicious attachments to compromise computers and steal information from companies in multiple European countries.

T1566.001

Phishing: Spearphishing Attachment

Attackers used spearphishing messages to compromise computers and steal information from companies in multiple European countries.

Execution

T1204.002

User Execution: Malicious File

Attackers relied on users opening and launching malicious files with malware packed by AceCryptor.

Credential Access

T1555.003

Credentials from Password Stores: Credentials from Web Browsers

Attackers tried to steal credential information from browsers and email clients.