Търсене
Close this search box.

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софтуер се използва криптиращ (алтернативно изписван като cryptor) софтуер, наречен AceCryptor.

Словашката фирма за киберсигурност ESET заяви, че е идентифицирала над 240 000 откривания на криптора в телеметрията си през 2021 и 2022 г. Това се равнява на повече от 10 000 търсения на месец.

Някои от известните семейства зловреден софтуер, съдържащи се в AceCryptor, са SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware и Amadey, наред с други.

Държавите с най-много открити случаи включват Перу, Египет, Тайланд, Индонезия, Турция, Бразилия, Мексико, Южна Африка, Полша и Индия.

AceCryptor беше изтъкнат за първи път от Avast през август 2022 г., като подробно беше описано използването на зловредния софтуер за разпространение на Stop ransomware и RedLine Stealer в Discord под формата на 7-Zip файлове.

Крипторите са подобни на пакетиращите програми, но вместо да използват компресия, те са известни с това, че замазват кода на зловредния софтуер с криптиране, за да направят откриването и обратното инженерство много по-трудни.

Те също така са показателни за тенденция, при която авторите на зловреден софтуер рекламират такива възможности за други  заплахи, по-малко технически усъвършенствани или други, които искат да бронират своите творения.

„Въпреки че  заплахите могат да създават и поддържат свои собствени криптори,  свързани с криминален софтуер, често може да се окаже времеемка или технически трудна задача да поддържат своя криптор в така нареченото FUD (напълно неоткриваемо) състояние“, казва изследователят от ESET Якуб Калоч.

„Търсенето на такава защита създаде множество опции за криптограф като услуга (CaaS), които опаковат зловреден софтуер“.

Опакованият с AceCryptor зловреден софтуер се доставя чрез троянски инсталатори на пиратски софтуер, спам имейли със зловредни прикачени файлове или друг зловреден софтуер, който вече е компрометирал хоста.

Подозира се също, че се продава като CaaS, поради факта, че се използва от множество  заплахи за разпространение на разнообразни семейства зловреден софтуер.

Криптографът е силно обфускулиран, като включва трислойна архитектура за постепенно декриптиране и разопаковане на всеки етап и в крайна сметка за стартиране на полезния товар, като същевременно разполага с техники за борба с виртуални микропроцесори, отстраняване на грешки и анализ, за да се скрие под радара.

Според ESET се твърди, че вторият слой е въведен през 2019 г. като допълнителен механизъм за защита.

Констатациите идват в момент, когато друга криптографска услуга с кодово име ScrubCrypt е била използвана от криптоджакинг групи като 8220 Gang за незаконно добиване на криптовалута на заразени хостове.

По-рано този януари Check Point разкри и пакетираща програма, известна като TrickGate, която се използва за разгръщане на широк спектър от зловреден софтуер като TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze и REvil в продължение на повече от шест години.

 

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

Реакция на пробива в сигурн...

Нарушението и реакцията на AnyDesk На...
26/02/2024

Директорът по киберсигурнос...

Роб Джойс, директор по киберсигурността в...
26/02/2024

PayPal регистрира патент за...

PayPal е подал заявка за патент...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!