A ESET revelou detalhes sobre um cryptor – uma camada de defesa usada por cibercriminosos para camuflar o código de malware e evitar detecções – com circulação à escala global usado por dezenas de famílias de malware. Designado AceCryptor, esta camuflagem de malware é usada desde 2016 e contribui para espalhar malware em campanhas por todo o mundo.
Só em 2021 e 2022, a telemetria avançada da ESET detectou mais de 240 mil ocorrências de malware com AceCryptor, o que equivale a mais de 10 mil detecções por mês. É provável que este cryptor seja vendido na dark web ou em fóruns clandestinos. Actualmente, muitas famílias de malware, incluindo malware usado para roubo de credenciais de cartões de crédito e dados sensíveis, contam com o AceCryptor como a sua principal protecção contra detecções.
“Para os autores de malware, proteger os seus instrumentos de ataque contra a detecção é um desafio. Os cryptors são a primeira camada de defesa do malware que é distribuído. Embora os autores de ameaças possam criar e manter os seus próprios cryptors personalizados, para os autores de ameaças de malware projectado para o cibercrime automatizado – ou crimeware – muitas vezes pode ser demorado ou tecnicamente difícil manter um cryptor num estado totalmente indetectável. A procura por essa camuflagem deu origem a várias opções de cryptor-como-serviço que incluem malware,” explicou a propósito o investigador da ESET Jakub Kaloč.
Malware protegido com AceCryptor
Entre as famílias de malware detectadas que usaram o AceCryptor, uma das mais prevalentes foi o RedLine Stealer – um malware disponível para compra em fóruns clandestinos e usado para roubar credenciais de cartão de crédito e outros dados confidenciais, fazer upload e download de ficheiros, e até mesmo roubar criptomoedas. O RedLine Stealer foi detectado pela primeira vez no início de 2022, e os seus distribuidores têm usado o AceCryptor desde então.
Como o AceCryptor é usado por vários agentes maliciosos, o malware nele incluído é distribuído de várias maneiras. De acordo com a telemetria da ESET, os dispositivos foram expostos ao malware com AceCryptor principalmente através de instaladores fraudulentos de software pirata ou emails de spam com anexos maliciosos.
Como muitos agentes maliciosos usam o AceCryptor, qualquer pessoa pode ser afetada. Devido à diversidade do malware incluído, é difícil estimar a gravidade das consequências para uma vítima comprometida. O AceCryptor pode ter sido implementado por outro malware, já em execução no sistema da vítima, ou, se a vítima foi diretamente afetada, por exemplo, pela abertura de um anexo de email malicioso.
Monitorização para protecção
A atribuição do AceCryptor a um determinado agente malicioso não é por enquanto possível. Contudo, a ESET prevê que o AceCryptor continue a ser amplamente utilizado. Uma monitorização atenta ajudará a prevenir e descobrir novas campanhas de famílias de malware com este cryptor. Durante 2021 e 2022, a ESET protegeu mais de 80 mil clientes afetados por malware cujo código estava ofuscado com AceCryptor.
