(資料圖)
自2016年以來,出現(xiàn)了一種名為AceCryptor的加密惡意軟件,被用于打包各種惡意軟件。
斯洛伐克網(wǎng)絡(luò)安全公司ESET表示,他們?cè)?021年和2022年的遙測(cè)中發(fā)現(xiàn)了超過24萬次密碼檢測(cè),且每月的點(diǎn)擊量超過1萬次。
AceCryptor中包含一些比較知名的惡意軟件,比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等,且多發(fā)現(xiàn)于秘魯、埃及、泰國(guó)、印度尼西亞、土耳其、巴西、墨西哥、南非、波蘭和印度。
Avast于2022年8月首次對(duì)AceCryptor進(jìn)行了詳細(xì)說明,介紹了該惡意軟件以7-Zip文件的形式在Discord上分發(fā)Stop勒索軟件和紅線竊取器。
加密器的原理與打包器類似,但不是使用壓縮,而是用加密來混淆惡意軟件的代碼,使檢測(cè)和反向工程更具挑戰(zhàn)性。
ESET研究員Jakub kalonik說:盡管威脅行為者可以創(chuàng)建和維護(hù)他們自己的自定義密碼,但對(duì)于犯罪軟件威脅行為者來說,將他們的密碼保持在所謂的FUD(完全不可檢測(cè))狀態(tài)通常是一項(xiàng)耗時(shí)或技術(shù)上困難的任務(wù)。
對(duì)這種保護(hù)的需求創(chuàng)造了多種打包惡意軟件的加密即服務(wù)(CaaS)選項(xiàng)。acecryptor包裝的惡意軟件是通過盜版軟件的木馬安裝程序、帶有惡意附件的垃圾郵件或其他已經(jīng)危及主機(jī)的惡意軟件來傳遞的。它也被懷疑是作為CaaS出售的,因?yàn)樗欢鄠€(gè)威脅者用來傳播不同的惡意軟件。
據(jù)悉,該加密器被嚴(yán)重混淆,并納入了一個(gè)三層架構(gòu),以逐步解密和解包每個(gè)階段,并最終啟動(dòng)有效載荷,同時(shí)還具有反虛擬機(jī)、反調(diào)試和反分析技術(shù),以便在雷達(dá)下飛行。
據(jù)ESET稱,第二層似乎是在2019年引入的,作為一種額外的保護(hù)機(jī)制。另一個(gè)代號(hào)為ScrubCrypt的加密器服務(wù)曾被8220團(tuán)伙等加密劫持組織利用,因其在受感染的主機(jī)上非法挖掘加密貨幣。
今年1月初,Check Point還發(fā)現(xiàn)了一個(gè)名為TrickGate的打包器,它被用來部署各種惡意軟件,比如TrickBot、Emotet、AZORult、Agent Tesla、FormBook、Cerber、Maze和REvil。
標(biāo)簽: