Търсене
Close this search box.

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софтуер се използва криптиращ (алтернативно изписван като cryptor) софтуер, наречен AceCryptor.

Словашката фирма за киберсигурност ESET заяви, че е идентифицирала над 240 000 откривания на криптора в телеметрията си през 2021 и 2022 г. Това се равнява на повече от 10 000 търсения на месец.

Някои от известните семейства зловреден софтуер, съдържащи се в AceCryptor, са SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware и Amadey, наред с други.

Държавите с най-много открити случаи включват Перу, Египет, Тайланд, Индонезия, Турция, Бразилия, Мексико, Южна Африка, Полша и Индия.

AceCryptor беше изтъкнат за първи път от Avast през август 2022 г., като подробно беше описано използването на зловредния софтуер за разпространение на Stop ransomware и RedLine Stealer в Discord под формата на 7-Zip файлове.

Крипторите са подобни на пакетиращите програми, но вместо да използват компресия, те са известни с това, че замазват кода на зловредния софтуер с криптиране, за да направят откриването и обратното инженерство много по-трудни.

Те също така са показателни за тенденция, при която авторите на зловреден софтуер рекламират такива възможности за други  заплахи, по-малко технически усъвършенствани или други, които искат да бронират своите творения.

„Въпреки че  заплахите могат да създават и поддържат свои собствени криптори,  свързани с криминален софтуер, често може да се окаже времеемка или технически трудна задача да поддържат своя криптор в така нареченото FUD (напълно неоткриваемо) състояние“, казва изследователят от ESET Якуб Калоч.

„Търсенето на такава защита създаде множество опции за криптограф като услуга (CaaS), които опаковат зловреден софтуер“.

Опакованият с AceCryptor зловреден софтуер се доставя чрез троянски инсталатори на пиратски софтуер, спам имейли със зловредни прикачени файлове или друг зловреден софтуер, който вече е компрометирал хоста.

Подозира се също, че се продава като CaaS, поради факта, че се използва от множество  заплахи за разпространение на разнообразни семейства зловреден софтуер.

Криптографът е силно обфускулиран, като включва трислойна архитектура за постепенно декриптиране и разопаковане на всеки етап и в крайна сметка за стартиране на полезния товар, като същевременно разполага с техники за борба с виртуални микропроцесори, отстраняване на грешки и анализ, за да се скрие под радара.

Според ESET се твърди, че вторият слой е въведен през 2019 г. като допълнителен механизъм за защита.

Констатациите идват в момент, когато друга криптографска услуга с кодово име ScrubCrypt е била използвана от криптоджакинг групи като 8220 Gang за незаконно добиване на криптовалута на заразени хостове.

По-рано този януари Check Point разкри и пакетираща програма, известна като TrickGate, която се използва за разгръщане на широк спектър от зловреден софтуер като TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze и REvil в продължение на повече от шест години.

 

Източник: The Hacker News

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...
Бъдете социални
Още по темата
23/07/2024

Wiz се отказа от сделката с...

Израелският гигант в областта на сигурността...
20/07/2024

IBM спечели важен контракт

IBM (NYSE: IBM) обяви , че...
17/07/2024

На прощаване: Kaspersky пре...

Kaspersky предлага безплатни продукти за сигурност...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!