do. mrt 28th, 2024
Leestijd: 2 minuten

ESET-onderzoekers hebben vandaag details onthuld over een veelvoorkomende cryptomalware, AceCryptor. AceCryptor opereert als een cryptor-as-a-service die door tientallen malwarefamilies wordt gebruikt.

Deze dreiging bestaat al sinds 2016 en is wereldwijd verspreid, waarbij meerdere dreigingsactoren het actief gebruiken om malware in hun campagnes te verspreiden. Gedurende 2021 en 2022 zag ESET telemetrie meer dan 240.000 detecties van deze malware, wat neerkomt op meer dan 10.000 hits per maand. AceCryptor wordt waarschijnlijk verkocht op het dark web of ondergrondse forums.. Velen vertrouwen op deze cryptor als hun belangrijkste bescherming tegen statistische detectie.

“Voor auteurs van malware is het een uitdaging om hun creaties te beschermen tegen detectie. Cryptors vormen de eerste verdedigingslaag voor malware die wordt verspreid. Ook al kunnen dreigingsactoren hun eigen aangepaste cryptors maken en onderhouden, voor crimeware is het vaak tijdrovend of technisch moeilijk om hun cryptor volledig ondetecteerbaar te houden. De vraag naar dergelijke bescherming heeft meerdere cryptor-as-a-service opties gecreëerd die malware verpakken,” zegt ESET-onderzoeker Jakub Kaloč, die AceCryptor analyseerde.

Onder de gevonden malwarefamilies die AceCryptor gebruikten, was RedLine Stealer één van de meest voorkomende – Deze malware is te koop op ondergrondse forums en wordt gebruikt om creditcardgegevens en andere gevoelige gegevens te stelen, bestanden te uploaden en downloaden en zelfs cryptocurrency te stelen. RedLine Stealer werd voor het eerst gezien in Q1 2022; distributeurs hebben AceCryptor sindsdien gebruikt en blijven dat doen. “Het betrouwbaar kunnen detecteren van AceCryptor helpt ons dus niet alleen met zichtbaarheid in nieuwe opkomende dreigingen, maar ook met het monitoren van de activiteiten van dreigingsactoren”, legt Kaloč uit.

Gedurende 2021 en 2022 heeft ESET meer dan 80.000 klanten beschermd die getroffen werden door malware verpakt door AceCryptor. In totaal zijn er 240.000 detecties geweest, waaronder hetzelfde sample dat op meerdere computers werd gedetecteerd, en één computer die meerdere keren door ESET-software werd beschermd. AceCryptor is erg versluierd en heeft door de jaren heen veel technieken gebruikt om detectie te vermijden.

“Ook al kennen we de exacte prijs van deze dienst niet, met dit aantal detecties nemen we aan dat de winst voor de auteurs van AceCryptor niet te verwaarlozen is,” theoretiseert Kaloč.

Omdat AceCryptor door meerdere dreigingsactoren wordt gebruikt, wordt de ermee verpakte malware op meerdere manieren verspreid. Volgens ESET telemetrie werden apparaten voornamelijk blootgesteld aan met AceCryptor verpakte malware via trojaanse installateurs van illegale software of spam e-mails met schadelijke bijlagen. Een andere manier waarop iemand kan worden blootgesteld is via andere malware die nieuwe, door AceCryptor beschermde malware downloadde. Een voorbeeld is het Amadey-botnet, dat we hebben waargenomen bij het downloaden van een RedLine Stealer met AceCryptor.

Aangezien veel dreigingsactoren de malware gebruiken, kan iedereen worden getroffen. Door de diversiteit van de ingepakte malware is het moeilijk in te schatten hoe ernstig de gevolgen zijn voor een gecompromitteerd slachtoffer. AceCryptor kan zijn gedropt door andere malware die al op de machine van het slachtoffer draait, of, als het slachtoffer rechtstreeks is getroffen door bijvoorbeeld het openen van een schadelijke e-mailbijlage, kan de malware die erin zit aanvullende malware hebben gedownload; er kunnen dus veel malwarefamilies tegelijk aanwezig zijn.

AceCryptor heeft meerdere varianten en gebruikt momenteel een drielaagse architectuur.

Hoewel toewijzing van AceCryptor aan een bepaalde dreiger voorlopig niet mogelijk is, verwacht ESET Research dat AceCryptor op grote schaal gebruikt zal blijven worden. Nader toezicht zal helpen bij het voorkomen en ontdekken van nieuwe campagnes van malwarefamilies met deze cryptor.

Bekijk voor meer technische informatie over AceCryptor de blogpost ”Shedding light on AceCryptor and its operation” op WeLiveSecurity en volg ESET Research op Twitter voor het laatste nieuws.

Door Redactie