(資料圖片僅供參考)
自2016年以來(lái),出現(xiàn)了一種名為AceCryptor的加密惡意軟件�,被用于打包各種惡意軟件。
斯洛伐克網(wǎng)絡(luò)安全公司ESET表示�����,他們?cè)?021年和2022年的遙測(cè)中發(fā)現(xiàn)了超過(guò)24萬(wàn)次密碼檢測(cè)�,且每月的點(diǎn)擊量超過(guò)1萬(wàn)次。
AceCryptor中包含一些比較知名的惡意軟件����,比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等,且多發(fā)現(xiàn)于秘魯�����、埃及��、泰國(guó)、印度尼西亞�、土耳其、巴西��、墨西哥���、南非、波蘭和印度��。
Avast于2022年8月首次對(duì)AceCryptor進(jìn)行了詳細(xì)說(shuō)明�,介紹了該惡意軟件以7-Zip文件的形式在Discord上分發(fā)Stop勒索軟件和紅線竊取器。
加密器的原理與打包器類(lèi)似����,但不是使用壓縮,而是用加密來(lái)混淆惡意軟件的代碼�,使檢測(cè)和反向工程更具挑戰(zhàn)性。
ESET研究員Jakub kalonik說(shuō):盡管威脅行為者可以創(chuàng)建和維護(hù)他們自己的自定義密碼����,但對(duì)于犯罪軟件威脅行為者來(lái)說(shuō),將他們的密碼保持在所謂的FUD(完全不可檢測(cè))狀態(tài)通常是一項(xiàng)耗時(shí)或技術(shù)上困難的任務(wù)�����。
對(duì)這種保護(hù)的需求創(chuàng)造了多種打包惡意軟件的加密即服務(wù)(CaaS)選項(xiàng)。acecryptor包裝的惡意軟件是通過(guò)盜版軟件的木馬安裝程序����、帶有惡意附件的垃圾郵件或其他已經(jīng)危及主機(jī)的惡意軟件來(lái)傳遞的。它也被懷疑是作為CaaS出售的�,因?yàn)樗欢鄠€(gè)威脅者用來(lái)傳播不同的惡意軟件。
據(jù)悉����,該加密器被嚴(yán)重混淆,并納入了一個(gè)三層架構(gòu)��,以逐步解密和解包每個(gè)階段�,并最終啟動(dòng)有效載荷,同時(shí)還具有反虛擬機(jī)�、反調(diào)試和反分析技術(shù),以便在雷達(dá)下飛行�。
據(jù)ESET稱(chēng),第二層似乎是在2019年引入的�,作為一種額外的保護(hù)機(jī)制。另一個(gè)代號(hào)為ScrubCrypt的加密器服務(wù)曾被8220團(tuán)伙等加密劫持組織利用�����,因其在受感染的主機(jī)上非法挖掘加密貨幣�。
今年1月初,Check Point還發(fā)現(xiàn)了一個(gè)名為T(mén)rickGate的打包器,它被用來(lái)部署各種惡意軟件�����,比如TrickBot�����、Emotet�、AZORult�����、Agent Tesla�、FormBook、Cerber�����、Maze和REvil����。
