25 mei 2023 13:04

Nieuwe analyse door ESET Research: AceCryptor slaat 10.000 keer per maand toe

ESET-onderzoekers hebben details gegeven over AceCryptor, een veel voorkomende cryptor-malware die als ‘cryptor-as-a-service’ werkt en door tientallen malwarefamilies wordt gebruikt.

Deze dreiging bestaat al sinds 2016 en is wereldwijd verspreid, waarbij meerdere bedreigingsactoren deze actief gebruiken om verpakte malware via hun campagnes te verspreiden. In 2021 en 2022 heeft ESET-telemetrie meer dan 240.000 hits van deze malware gedetecteerd, wat neerkomt op meer dan 10.000 hits per maand. Het wordt waarschijnlijk verkocht op de darkweb of ondergrondse fora en tientallen verschillende malwarefamilies hebben de diensten van deze malware gebruikt. Velen vertrouwen op deze cryptor als hun belangrijkste bescherming tegen statische detecties.

“Voor auteurs van malware is het beschermen van hun creaties tegen detectie een uitdaging. Cryptors vormen de eerste verdedigingslaag tegen malware. Hoewel bedreigingsactoren hun eigen aangepaste cryptors kunnen maken en onderhouden, kan het voor criminelen vaak tijdrovend of technisch moeilijk zijn om hun cryptor volledig niet detecteerbare te houden. De vraag naar dergelijke bescherming heeft geleid tot meerdere ‘cryptors-as-a-service-opties’ die malware inpakken”, zegt Jakub Kaloč , de ESET-onderzoeker die AceCryptor analyseerde.

Onder de malwarefamilies die AceCryptor gebruikten, was RedLine Stealer een van de meest voorkomende malware die te koop is op ondergrondse fora en gebruikt wordt om creditcard- en andere gevoelige gegevens te stelen, bestanden te uploaden en te downloaden en zelfs cryptocurrency te stelen. RedLine Stealer werd eerst gezien in Q1 2022; distributeurs gebruiken sindsdien AceCryptor en blijven het doen. “De detectie van AceCryptor helpt ons dus niet alleen door zicht te hebben in nieuwe opkomende bedreigingen, maar ook bij het monitoren van de activiteiten van bedreigingsactoren”, legt Kaloč uit.

In 2021 en 2022 beschermde ESET meer dan 80.000 klanten die door verpakte malware door AceCryptor getroffen waren. In totaal zijn er 240.000 detecties geweest, waaronder dezelfde staal die op meerdere computers gedetecteerd is, en één computer die meerdere keren door ESET-software beveiligd is. AceCryptor heeft door de jaren veel technieken ingebouwd om detectie te voorkomen. “Hoewel we de exacte prijs van deze ‘service’ niet kennen, gaan we met dit aantal detecties ervan uit dat de voordelen voor de AceCryptor-auteurs zeker niet te verwaarlozen zijn”, verduidelijkt Kaloč.

Daar AceCryptor door meerdere bedreigingsactoren wordt gebruikt, wordt de erin verpakte malware op meerdere manieren verspreid. Volgens ESET-telemetrie werden toestellen blootgesteld aan met AceCryptor verpakte malware, voornamelijk via getrojaniseerde installatieprogramma’s van illegale software of spam-mails met kwaadaardige bijlagen. Een andere manier waarop men kan blootgesteld worden, is via andere malware die nieuwe malware, beschermd door AceCryptor, heeft gedownload. Een voorbeeld is het Amadey-botnet, waarvan werd waargenomen dat het een met AceCryptor verpakte RedLine Stealer downloadde.

Daar veel bedreigingsactoren de malware gebruiken, kan iedereen getroffen worden. Door de diversiteit aan ingepakte malware valt het moeilijk in te schatten hoe ernstig de gevolgen zijn voor een gecompromitteerd slachtoffer. AceCryptor kan gedropt zijn door andere malware, die al op de computer van een slachtoffer draait, of, als het slachtoffer werd getroffen door bijvoorbeeld het openen van een schadelijke e-mailbijlage, kan de aanwezige malware extra malware hebben gedownload. Er kunnen dus veel malwarefamilies simultaan aanwezig zijn.

AceCryptor heeft meerdere varianten en gebruikt nu een meertrapsarchitectuur met drie lagen.

Hoewel AceCryptor aan een bepaalde dreiging linken nu niet mogelijk is, verwacht ESET Research dat AceCryptor op grote schaal zal blijven gebruikt worden. Nauwkeuriger monitoring helpt nieuwe campagnes van malwarefamilies met deze cryptor te voorkomen en te ontdekken.

Lees, voor meer technische informatie over AceCryptor, de blogpost “Shedding light on AceCryptor and its operation” op www.WeLiveSecurity.com. Volg ESET Research op Twitter voor het laatste nieuws van ESET Research.

Dit artikel is een commerciële bijdrage van ESET. Onze redactie is niet verantwoordelijk voor de inhoud.