Новости AceCryptor: мощное оружие киберпреступников для обхода обнаружения и реверс-инжиниринга

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Уже около семи лет злоумышленники скрывают свой вредоносный софт при помощи универсального инструмента.


j92i2g6p9c3b7ouls2atz3ytm3t23b6n.png


Словацкая компания ESET Для просмотра ссылки Войди или Зарегистрируйся в своём недавнем отчёте, что криптор под названием AceCryptor используется злоумышленниками различных мастей аж с 2016 года. Данный инструмент позволяет хакерам скрывать свои вредоносные программы от обнаружения специализированным софтом и анализа специалистов.

Крипторы (шифровальщики) — это вид вредоносного ПО, которое шифрует и запутывает код других вредоносных программ, чтобы усложнить их детектирование и реверс-инжиниринг.

По данным ESET, только в 2021 и 2022 годах было обнаружено более 240 тысяч случаев использования AceCryptor. Это более 10 тысяч использований в месяц. При этом, уникальных образцов этого криптора за тот же промежуток времени было обнаружено более 80 тысяч, с 7 тысячами уникальных вариантов внутренней компоновки.

Среди вредоносных программ, упакованных с помощью AceCryptor, присутствуют такие популярные, как SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop и Amadey.


qnf9ew0zb9lu0el3xo1eqqf85jj50u7t.png


Статистика ESET по использованию AceCryptor в различных вредоносных кампаниях

Наибольшее число заражений подобными зашифрованными вредоносными программами было зафиксировано в Перу, Египте, Таиланде, Индонезии, Турции, Бразилии, Мексике, ЮАР, Польше и Индии.

AceCryptor Для просмотра ссылки Войди или Зарегистрируйся компанией Avast в августе 2022 года. Тогда инструмент использовался для распространения вымогательского софта Stop и инфостилера RedLine.

Упакованные AceCryptor-ом вредоносные программы обычно доставляются на компьютеры жертв с помощью поддельных установщиков пиратского софта, спам-писем с вредоносными вложениями или других вредоносов, которые уже скомпрометировали целевую систему.

Также предполагается, что AceCryptor предоставляется киберпреступникам как услуга ( CaaS ), поскольку инструмент используется разными хакерскими группами для распространения разнообразных семейств вредоносного софта.

Сам криптор, как правило, сильно обфусцирован и включает трехуровневую архитектуру для постепенного дешифровaния и распаковки каждого этапа заражения. А также включает методы защиты от виртуальных машин, отладки и анализа.

В конечном итоге, криптор крайне скрытно и незаметно запускает необходимую полезную нагрузку на устройстве жертвы, потому и пользуется такой популярностью у злоумышленников.

В марте Для просмотра ссылки Войди или Зарегистрируйся другой криптор под названием ScrubCrypt, который был использован сразу несколькими криптоджекинговыми группами для незаконной добычи криптовалюты на зараженных хостах. А в начале года специалисты Check Point Для просмотра ссылки Войди или Зарегистрируйся упаковщик под названием TrickGate, который использовался для развертывания широкого спектра вредоносов, таких как TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze и REvil более шести лет.
 
Источник новости
www.securitylab.ru

Похожие темы