Professionelle Malware ist besonders erfolgreich, wenn sie anhand geschickter Verschleierung die Erkennung durch Sicherheitslösungen aushebeln kann. AceCryptor wird im Rahmen von Cryptor-as-a-Service seit 2016 von Bedrohungsakteuren weltweit und aktiv für den Schutz dutzender Malware-Familien genutzt. Allein in den Jahren 2021 und 2022 hat ESET diese Malware mehr als 240.000 Mal entdeckt. AceCryptor wird wahrscheinlich im Dark Web oder in Untergrundforen verkauft.
Tarnung hilft vor Entdeckung
„Für Malware-Autoren ist es eine Herausforderung, ihre Kreationen vor Entdeckung zu schützen. Kryptographen sind die erste Verteidigungsschicht für Malware, die in Umlauf gebracht wird. Auch wenn Bedrohungsakteure ihre eigenen benutzerdefinierten Kryptoren erstellen und warten könnten, ist es für sie oft zeitaufwändig oder technisch schwierig, ihren Kryptor in einem vollständig unentdeckbaren Zustand zu halten. Die Nachfrage nach einem solchen Schutz hat mehrere Cryptor-as-a-Service-Optionen hervorgebracht, die Malware verpacken“, sagt ESET-Forscher Jakub Kaloč, der AceCryptor analysiert hat.
„RedLine Stealer“ setzt auf AceCryptor
Unter den entdeckten Malware-Familien, die AceCryptor verwenden, war der sogenannte RedLine Stealer. Dieser Schadcode wird in Untergrundforen zum Kauf angeboten und dient dazu, sensible Daten zu erbeuten oder Dateien ohne Erlaubnis des Anwenders hoch- und herunterzuladen. Im Fokus stehen dabei das Auslesen von Kreditkarteninformationen und das Stehlen von Kryptowährungen. RedLine Stealer wurde zum ersten Mal im ersten Quartal 2022 gesichtet. Seitdem nutzen die Kriminellen AceCryptor in großem Maße.
„Auch wenn wir den genauen Preis dieses Dienstes nicht kennen, gehen wir davon aus, dass der Gewinn für die Autoren von AceCryptor bei dieser Anzahl von Entdeckungen beträchtlich ist“, sagt Kaloč. Da AceCryptor von mehreren Bedrohungsakteuren eingesetzt wird, sind die Verbreitungswege weit gestreut. Laut ESET wurden Geräte mit AceCryptor-Malware hauptsächlich über trojanische Installationsprogramme für raubkopierte Software oder Spam-E-Mails mit bösartigen Anhängen infiziert. Eine andere Möglichkeit ist, dass Malware weiteren durch AceCryptor geschützten Schadcode nachlädt. Ein Beispiel hierfür ist das Amadey-Botnet, das einen mit AceCryptor gepackten RedLine Stealer heruntergeladen hat.
AceCryptor existiert in mehreren Varianten und verwendet derzeit eine mehrstufige, dreischichtige Architektur. Obwohl es derzeit nicht möglich ist, die Schadsoftware einem bestimmten Bedrohungsakteur zuzuordnen, geht die ESET-Forscher davon aus, dass AceCryptor weiterhin weit verbreitet sein wird. Eine genauere Überwachung wird dazu beitragen, neue Kampagnen von Malware-Familien mit diesem Kryptor zu verhindern und zu entdecken.
Neueste Kommentare
Noch keine Kommentare zu Tarnkappe gelüftet: Crypto-Malware AceCryptor entzaubert
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.