AceCryptor, ativo no Brasil, já fez mais de 240 mil ataques

Da Redação
29/05/2023

Um programa malicioso criptografador, chamado AceCryptor, tem sido usado para empacotar vários tipos de malware desde 2016. A empresa de segurança cibernética ESET disse que identificou mais de 240 mil detecções de ataques do criptógrafo em sua telemetria em 2021 e 2022. Isso equivale a mais de 10 mil acessos por mês.

Algumas das famílias de malware contidas no AceCryptor são SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, além dos ransomware Stop e Amadey, entre outros. Os países com mais detecções incluem Peru, Egito, Tailândia, Indonésia, Turquia, Brasil, México, África do Sul, Polônia e Índia.

O AceCryptor foi detectado pela primeira vez pela Avast em agosto do ano passado, que detalhando o uso do malware para distribuir os ransomware Stop e RedLine Stealer no aplicativo de VoIP Discord na forma de arquivos 7-Zip.

Os criptografadores são semelhantes aos empacotadores, mas, em vez de usar compactação, eles ofuscam o código do malware com criptografia para tornar a detecção e a engenharia reversa muito mais desafiadoras. Eles também são indicativos de uma tendência em que os desenvolvedores de malware anunciam esses recursos para outros operadores de ameaças, menos sofisticados tecnicamente, que procuram proteger suas criações.

Veja isso
Grupo LockBit estaria testando criptografadores para Mac
Malware para macOS é oferecido no Telegram por US$ 1.000 ao mês

“Embora os operadores de ameaças possam criar e manter seus próprios criptografadores personalizados, para os operadores de ameaças de crimeware pode ser uma tarefa demorada ou tecnicamente difícil mantê-los no chamado estado FUD [totalmente indetectável]”, disse o pesquisador da ESET Jakub Kaloč. “A demanda por tal proteção criou várias opções de criptografia como serviço [CaaS] que contêm malware.”

O malware embalado com o AceCryptor é fornecido por meio de instaladores trojanizados de software pirata, e-mails de spam com anexos maliciosos ou outro malware que já comprometeu um host. Suspeita-se também que seja vendido como um CaaS, devido ao fato de ser usado por vários operadores de ameaças para propagar uma ampla variedade de famílias de malware.

Compartilhar: