Um malware chamado AceCryptor, também escrito como Crypter, tem sido usado para empacotar diversas cepas de malware desde 2016.
A empresa de cibersegurança eslovaca ESET disse que identificou mais de 240.000 detecções do crypter em sua telemetria em 2021 e 2022.
Isso equivale a mais de 10.000 casos por mês.
Algumas das famílias de malware proeminentes contidas dentro do AceCryptor são SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware e Amadey, entre outras.
Os países com mais detecções incluem Peru, Egito, Tailândia, Indonésia, Turquia, Brasil, México, África do Sul, Polônia e Índia.
O AceCryptor foi destacado pela primeira vez pela Avast em agosto de 2022, detalhando o uso do malware para distribuir Stop ransomware e RedLine Stealer no Discord na forma de arquivos 7-Zip.
Crypters são semelhantes a empacotadores, mas em vez de usar compressão, eles são conhecidos por obfuscate o código de malware com criptografia para tornar a detecção e a engenharia reversa muito mais desafiadoras.
Eles também são indicativos de uma tendência em que os autores de malware anunciam tais capacidades para outros atores de ameaças, menos tecnicamente sofisticados ou de outra forma, que estão buscando proteger suas criações.
"A demanda por essa proteção criou várias opções de criptor como serviço (CaaS) que empacotam malware", disse Jakub Kaloč, pesquisador da ESET.
O malware empacotado pelo AceCryptor é entregue por meio de instaladores trojanizados de software pirateado, e-mails de spam com anexos maliciosos ou outro malware que já comprometeu um host.
Também é suspeito de ser vendido como um CaaS, devido ao fato de ser usado por vários atores de ameaças para propagar uma ampla gama de famílias de malware.
O crypter é altamente obfuscado, incorporando uma arquitetura de três camadas para descriptografar e desempacotar progressivamente cada estágio e, por fim, lançar o payload, enquanto também apresenta técnicas anti-VM, anti-de depuração e anti-análise para 'voar abaixo do radar'.
A segunda camada, segundo a ESET, foi introduzida em 2019 como um mecanismo extra de proteção.
As descobertas surgem à medida que outro serviço de crypter chamado ScrubCrypt foi aproveitado por grupos de criptomoedas como o 8220 Gang para minerar criptomoedas ilicitamente em hosts infectados.
Em janeiro passado, a Check Point também descobriu um empacotador conhecido como TrickGate, que é usado para distribuir uma ampla gama de malware, como TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze e REvil há mais de seis anos.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...