Professionelle Malware ist besonders erfolgreich, wenn sie anhand geschickter Verschleierung die Erkennung durch Sicherheitslösungen aushebeln kann. AceCryptor wird im Rahmen von Cryptor-as-a-Service seit 2016 von Bedrohungsakteuren weltweit und aktiv für den Schutz dutzender Malware-Familien genutzt. Allein in den Jahren 2021 und 2022 hat ESET diese Malware mehr als 240.000 Mal entdeckt. AceCryptor wird wahrscheinlich im Dark Web oder in Untergrundforen verkauft.
„Für Malware-Autoren ist es eine Herausforderung, ihre Kreationen vor Entdeckung zu schützen. Kryptographen sind die erste Verteidigungsschicht für Malware, die in Umlauf gebracht wird. Auch wenn Bedrohungsakteure ihre eigenen benutzerdefinierten Kryptoren erstellen und warten könnten, ist es für sie oft zeitaufwändig oder technisch schwierig, ihren Kryptor in einem vollständig unentdeckbaren Zustand zu halten. Die Nachfrage nach einem solchen Schutz hat mehrere Cryptor-as-a-Service-Optionen hervorgebracht, die Malware verpacken“, sagt ESET-Forscher Jakub Kaloč, der AceCryptor analysiert hat.
Unter den entdeckten Malware-Familien, die AceCryptor verwenden, war der sogenannte RedLine Stealer. Dieser Schadcode wird in Untergrundforen zum Kauf angeboten und dient dazu, sensible Daten zu erbeuten oder Dateien ohne Erlaubnis des Anwenders hoch- und herunterzuladen. Im Fokus stehen dabei das Auslesen von Kreditkarteninformationen und das Stehlen von Kryptowährungen. RedLine Stealer wurde zum ersten Mal im ersten Quartal 2022 gesichtet. Seitdem nutzen die Kriminellen AceCryptor in großem Maße.
„Auch wenn wir den genauen Preis dieses Dienstes nicht kennen, gehen wir davon aus, dass der Gewinn für die Autoren von AceCryptor bei dieser Anzahl von Entdeckungen beträchtlich ist“, sagt Kaloč. Da AceCryptor von mehreren Bedrohungsakteuren eingesetzt wird, sind die Verbreitungswege weit gestreut. Laut ESET wurden Geräte mit AceCryptor-Malware hauptsächlich über trojanische Installationsprogramme für raubkopierte Software oder Spam-E-Mails mit bösartigen Anhängen infiziert. Eine andere Möglichkeit ist, dass Malware weiteren durch AceCryptor geschützten Schadcode nachlädt. Ein Beispiel hierfür ist das Amadey-Botnet, das einen mit AceCryptor gepackten RedLine Stealer heruntergeladen hat.
AceCryptor existiert in mehreren Varianten und verwendet derzeit eine mehrstufige, dreischichtige Architektur. Obwohl es derzeit nicht möglich ist, die Schadsoftware einem bestimmten Bedrohungsakteur zuzuordnen, geht die ESET-Forscher davon aus, dass AceCryptor weiterhin weit verbreitet sein wird. Eine genauere Überwachung wird dazu beitragen, neue Kampagnen von Malware-Familien mit diesem Kryptor zu verhindern und zu entdecken.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…