Nouvelle analyse d'AceCryptor par ESET Research : utilisé par les logiciels criminels, il frappe 10 000 fois par mois
Publié le 25/05/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• Les chercheurs d'ESET publient des détails sur AceCryptor, un maliciel de chiffrement courrant, qui fonctionne comme service de chiffrement utilisé par des dizaines de familles de maliciels.
• Des échantillons d'AceCryptor sont très répandus au niveau mondial. Plusieurs acteurs de la menace l’utilisent activement pour diffuser les maliciels contenus dans leurs campagnes.
• En 2021 et 2022, ESET a protégé plus de 80 000 clients touchés par des maliciels contenus dans AceCryptor.
• Au total, il y a eu 240 000 détections. Le même échantillon a été détecté sur plusieurs ordinateurs et un ordinateur était protégé plusieurs fois par le logiciel ESET. Cela fait plus de 10 000 attaques chaque mois.
• Parmi les familles de maliciels trouvées qui utilisaient AceCryptor, l'une des plus répandues était RedLine Stealer - un maliciel qui vole des informations d'identification de cartes de crédit et des données sensibles, charge et télécharge des fichiers, et vole même de la crypto-monnaie.
• AceCryptor est fortement obscurci et a de multiples variantes. Au cours des années, il a incorporé de nombreuses techniques pour éviter la détection.
BRATISLAVA, le 25 mai 2023 — Les chercheurs d'ESET ont révélé des détails sur AceCryptor, un maliciel cryptographique très répandu, qui fonctionne comme ‘cryptor-as-a-service’, utilisé par des dizaines de familles de maliciels. Cette menace existe depuis 2016 et a été répandue dans le monde entier. Plusieurs acteurs de la menace l'utilisent activement pour diffuser des maliciels incorporés dans leurs campagnes. En 2021 et 2022, la télémétrie ESET a détecté plus de 240 000 attaques de ce maliciel, ce qui représente plus de 10 000 détections par mois. Il est probablement vendu sur le dark web ou forums clandestins, et des dizaines de familles de maliciels différentes ont utilisé les services de ce maliciel. Beaucoup comptent sur ce cryptor comme principale protection contre les détections statiques.
«Pour les auteurs de maliciels, protéger leurs créations contre la détection est un réel défi. Les cryptos sont la première couche de défense contre les maliciels distribués. Même si les pirates peuvent créer et maintenir leurs cryptos personnalisés, pour les cybercriminels c’est souvent long et techniquement difficile de maintenir leur cryptos dans un état totalement indétectable. La demande pour une telle protection a créé plusieurs options de ‘chiffrement en tant que service’ qui contiennent des maliciels », explique Jakub Kaloč, le chercheur d'ESET qui a analysé AceCryptor.
Parmi les familles de maliciels trouvées utilisant AceCryptor, l'une des plus répandues était RedLine Stealer - un maliciel qui s’achète sur des forums clandestins et est utilisé pour voler des informations d'identification de cartes de crédit et d'autres données sensibles, charger et télécharger des fichiers, et même voler de la crypto-monnaie. RedLine Stealer a été vu pour la première fois au premier trimestre 2022. Depuis lors, des distributeurs ont utilisé AceCryptor et continuent de le faire. "Etre capable de détecter AceCryptor de manière fiable, nous aide non seulement à avoir une vue sur les nouvelles menaces émergentes, mais également à surveiller les activités des acteurs de la menace", explique Kaloč.
En 2021 et 2022, ESET a protégé plus de 80 000 clients touchés par des maliciels intégrés dans AceCryptor. Au total, il y a eu 240 000 détections. Le même échantillon a été détecté sur plusieurs ordinateurs, et un ordinateur a été protégé plusieurs fois par le logiciel ESET. AceCryptor est fortement obscurci et, au cours des années, a incorporé de nombreuses techniques pour éviter la détection. "Même si nous n’avons pas idée du prix exact de ce service, le nombre de détections nous laisse supposer que pour les auteurs d'AceCryptor, les gains ne sont pas négligeables", ajoute Kaloč.
AceCryptor étant utilisé par plusieurs acteurs de la menace, les maliciels qu'il contient sont distribués de plusieurs manières. Selon la télémétrie ESET, des appareils ont été exposés à des maliciels contenant AceCryptor principalement via des installateurs de logiciels piratés contenant des chevaux de Troie ou des spams avec des pièces jointes malveillantes. Une autre façon dont on peut être exposé est via d'autres maliciels qui ont téléchargé de nouveaux maliciels protégés par AceCryptor. Le botnet Amadey est un exemple qu’ESET a observé en train de télécharger un RedLine Stealer rempli d'AceCryptor.
Puisque de nombreux acteurs de la menace utilisent le maliciel, n'importe qui peut être affecté. En raison de la diversité des maliciels incorporés, il est difficile d'estimer la gravité des conséquences pour une victime compromise. AceCryptor peut avoir été abandonné par d'autres maliciels déjà en cours d'exécution sur la machine d'une victime. Si la victime a été directement affectée, par exemple en ouvrant une pièce jointe malveillante, tout maliciel à l'intérieur peut avoir téléchargé un maliciel supplémentaire. De nombreuses familles de maliciels peuvent ainsi être présentes simultanément.
AceCryptor a plusieurs variantes et utilise actuellement une architecture à plusieurs étages et à trois couches.
Attribuer AceCryptor à un acteur de menace particulier n'est pas encore possible. ESET Research s'attend à ce qu'AceCryptor continue à être largement utilisé. Une surveillance plus étroite aidera à prévenir et à découvrir de nouvelles campagnes de familles de maliciels contenant ce cryptor.
Pour plus d'informations techniques sur AceCryptor, consultez le blog “Shedding light on AceCryptor and its operation” sur WeLiveSecurity. Pour les dernières nouvelles, suivez ESET Research sur Twitter (ESET Research on Twitter).
• Des échantillons d'AceCryptor sont très répandus au niveau mondial. Plusieurs acteurs de la menace l’utilisent activement pour diffuser les maliciels contenus dans leurs campagnes.
• En 2021 et 2022, ESET a protégé plus de 80 000 clients touchés par des maliciels contenus dans AceCryptor.
• Au total, il y a eu 240 000 détections. Le même échantillon a été détecté sur plusieurs ordinateurs et un ordinateur était protégé plusieurs fois par le logiciel ESET. Cela fait plus de 10 000 attaques chaque mois.
• Parmi les familles de maliciels trouvées qui utilisaient AceCryptor, l'une des plus répandues était RedLine Stealer - un maliciel qui vole des informations d'identification de cartes de crédit et des données sensibles, charge et télécharge des fichiers, et vole même de la crypto-monnaie.
• AceCryptor est fortement obscurci et a de multiples variantes. Au cours des années, il a incorporé de nombreuses techniques pour éviter la détection.
BRATISLAVA, le 25 mai 2023 — Les chercheurs d'ESET ont révélé des détails sur AceCryptor, un maliciel cryptographique très répandu, qui fonctionne comme ‘cryptor-as-a-service’, utilisé par des dizaines de familles de maliciels. Cette menace existe depuis 2016 et a été répandue dans le monde entier. Plusieurs acteurs de la menace l'utilisent activement pour diffuser des maliciels incorporés dans leurs campagnes. En 2021 et 2022, la télémétrie ESET a détecté plus de 240 000 attaques de ce maliciel, ce qui représente plus de 10 000 détections par mois. Il est probablement vendu sur le dark web ou forums clandestins, et des dizaines de familles de maliciels différentes ont utilisé les services de ce maliciel. Beaucoup comptent sur ce cryptor comme principale protection contre les détections statiques.
«Pour les auteurs de maliciels, protéger leurs créations contre la détection est un réel défi. Les cryptos sont la première couche de défense contre les maliciels distribués. Même si les pirates peuvent créer et maintenir leurs cryptos personnalisés, pour les cybercriminels c’est souvent long et techniquement difficile de maintenir leur cryptos dans un état totalement indétectable. La demande pour une telle protection a créé plusieurs options de ‘chiffrement en tant que service’ qui contiennent des maliciels », explique Jakub Kaloč, le chercheur d'ESET qui a analysé AceCryptor.
Parmi les familles de maliciels trouvées utilisant AceCryptor, l'une des plus répandues était RedLine Stealer - un maliciel qui s’achète sur des forums clandestins et est utilisé pour voler des informations d'identification de cartes de crédit et d'autres données sensibles, charger et télécharger des fichiers, et même voler de la crypto-monnaie. RedLine Stealer a été vu pour la première fois au premier trimestre 2022. Depuis lors, des distributeurs ont utilisé AceCryptor et continuent de le faire. "Etre capable de détecter AceCryptor de manière fiable, nous aide non seulement à avoir une vue sur les nouvelles menaces émergentes, mais également à surveiller les activités des acteurs de la menace", explique Kaloč.
En 2021 et 2022, ESET a protégé plus de 80 000 clients touchés par des maliciels intégrés dans AceCryptor. Au total, il y a eu 240 000 détections. Le même échantillon a été détecté sur plusieurs ordinateurs, et un ordinateur a été protégé plusieurs fois par le logiciel ESET. AceCryptor est fortement obscurci et, au cours des années, a incorporé de nombreuses techniques pour éviter la détection. "Même si nous n’avons pas idée du prix exact de ce service, le nombre de détections nous laisse supposer que pour les auteurs d'AceCryptor, les gains ne sont pas négligeables", ajoute Kaloč.
AceCryptor étant utilisé par plusieurs acteurs de la menace, les maliciels qu'il contient sont distribués de plusieurs manières. Selon la télémétrie ESET, des appareils ont été exposés à des maliciels contenant AceCryptor principalement via des installateurs de logiciels piratés contenant des chevaux de Troie ou des spams avec des pièces jointes malveillantes. Une autre façon dont on peut être exposé est via d'autres maliciels qui ont téléchargé de nouveaux maliciels protégés par AceCryptor. Le botnet Amadey est un exemple qu’ESET a observé en train de télécharger un RedLine Stealer rempli d'AceCryptor.
Puisque de nombreux acteurs de la menace utilisent le maliciel, n'importe qui peut être affecté. En raison de la diversité des maliciels incorporés, il est difficile d'estimer la gravité des conséquences pour une victime compromise. AceCryptor peut avoir été abandonné par d'autres maliciels déjà en cours d'exécution sur la machine d'une victime. Si la victime a été directement affectée, par exemple en ouvrant une pièce jointe malveillante, tout maliciel à l'intérieur peut avoir téléchargé un maliciel supplémentaire. De nombreuses familles de maliciels peuvent ainsi être présentes simultanément.
AceCryptor a plusieurs variantes et utilise actuellement une architecture à plusieurs étages et à trois couches.
Attribuer AceCryptor à un acteur de menace particulier n'est pas encore possible. ESET Research s'attend à ce qu'AceCryptor continue à être largement utilisé. Une surveillance plus étroite aidera à prévenir et à découvrir de nouvelles campagnes de familles de maliciels contenant ce cryptor.
Pour plus d'informations techniques sur AceCryptor, consultez le blog “Shedding light on AceCryptor and its operation” sur WeLiveSecurity. Pour les dernières nouvelles, suivez ESET Research sur Twitter (ESET Research on Twitter).