Siden 2016 er en ondsindet software kaldet AceCryptor, alternativt stavet som AceCryptor, blevet brugt af cyberkriminelle til at pakke forskellige typer malware. Et formidabelt våben af ​​cyberkriminelle opdaget i over 240.000 angreb

ESET, et slovakisk cybersikkerhedsfirma, har rapporteret at identificere over 240.000 forekomster af denne kryptering i sine telemetridata fra 2021 og 2022, hvilket indikerer et gennemsnit på mere end 10.000 detektioner om måneden.

AceCryptor har vist sig at indeholde flere bemærkelsesværdige malware-familier, inklusive SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware og Amadey, blandt andre.

Landene med det højeste antal påvisninger omfatter Peru, Egypten, Thailand, Indonesien, Tyrkiet, Brasilien, Mexico, Sydafrika, Polen og Indien.

Avast kastede oprindeligt lys over AceCryptor i august 2022 og afslørede dets brug til distribution af Stop ransomware og RedLine Stealer via Discord, forklædt som 7-Zip-filer.

Kryptere ligner pakkere, men i stedet for at bruge komprimering, anvender de kryptering til at sløre malware-koden og derved gøre det mere udfordrende at opdage og reverse engineering.

Denne tendens angiver en voksende praksis blandt malware-skabere, som reklamerer for disse funktioner til mindre teknisk dygtige trusselsaktører, der søger at styrke deres egne kreationer.

ESET-forsker Jakub Kaloč udtalte: "Selvom trusselsaktører kan udvikle og vedligeholde deres tilpassede krypteringer, er det ofte tidskrævende eller teknisk vanskeligt for aktører af kriminalitetstrussel at holde deres kryptering uopdagelig. Denne efterspørgsel efter beskyttelse har resulteret i fremkomsten af ​​flere kryptering- as-a-service (CaaS) muligheder, der pakker malware."

AceCryptor-pakket malware distribueres gennem trojaniserede installatører af piratkopieret software, spam-e-mails med ondsindede vedhæftede filer eller ved at udnytte anden malware, der allerede har kompromitteret en vært.

Det er mistanke om, at AceCryptor også sælges som en CaaS, da den er ansat af flere trusselsaktører til at sprede forskellige malware-familier. Krypteringsprogrammet anvender kraftig tilsløring og anvender en tre-lags arkitektur til gradvist at dekryptere og udpakke hvert trin, før nyttelasten startes. Derudover inkorporerer den anti-VM, anti-debugging og anti-analyse teknikker for at undgå detektion.

Ifølge ESET blev det andet lag af AceCryptors beskyttelsesmekanisme introduceret i 2019.

Disse resultater dukker op sammen med opdagelsen af ​​en anden krypteringstjeneste kendt som ScrubCrypt, som er blevet brugt af kryptojacking-grupper som 8220 Gang til at mine kryptovalutaer ulovligt på kompromitterede værter.

I januar afslørede Check Point også en packer kaldet TrickGate, som har været brugt i over seks år til at distribuere en lang række malware, herunder TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze og REvil.

Hvad er en “packer”?

I forbindelse med cybersikkerhed refererer en pakker til et softwareværktøj eller en teknik, der bruges til at komprimere eller kryptere eksekverbare filer, såsom malware, med det formål at gøre dem sværere at opdage og analysere af sikkerhedsløsninger og forskere.

Pakning involverer at skabe en pakket version af filen, der indeholder den originale eksekverbare kode sammen med yderligere kode, der er ansvarlig for udpakning og gendannelse af den originale kode under kørsel. Denne proces kan tjene flere formål for cyberkriminelle, herunder:

1. Anti-detektion: Ved at komprimere eller kryptere filen kan pakkere gøre det sværere for antivirus- og anden sikkerhedssoftware at genkende den ondsindede kode. Dette gør det muligt for malware at undgå opdagelse og øge chancerne for vellykket infektion.

2. Tilsløring: Pakkere kan sløre den eksekverbare kode, hvilket gør det mere udfordrende for analytikere at forstå og omvendt manipulere malwaren. Den ekstra kode, der introduceres af pakkeren, kan omfatte anti-analyseteknikker, såsom anti-debugging eller anti-VM (virtuel maskine), hvilket yderligere komplicerer analyseprocessen.

3. Levering af nyttelast: Pakker kan bruges som en leveringsmekanisme for malware. Ondsindet kode kan være pakket i godartede filer eller forklædt som legitime softwareinstallatører for at narre brugere til at udføre dem og derved starte udpakningsprocessen og starte den ondsindede nyttelast.

Sikkerhedsforskere og analytikere anvender forskellige teknikker til at opdage og udpakke pakkede filer, såsom statisk og dynamisk analyse, sandboxing og adfærdsovervågning. Sofistikerede pakkere fortsætter dog med at udvikle sig for at være på forkant med detektionsmetoder, hvilket udgør løbende udfordringer for cybersikkerhedsprofessionelle med at identificere og afbøde trusler.