Un malware llamado AceCryptor, también conocido como crypter o cryptor, ha sido utilizado desde 2016 para empaquetar numerosas cepas de malware. La firma de ciberseguridad eslovaca ESET ha informado que identificó más de 240,000 detecciones del crypter en su telemetría en 2021 y 2022. Esto equivale a más de 10,000 ataques al mes.
Algunas de las familias de malware más destacadas encontradas dentro de AceCryptor son SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware y Amadey, entre otros. Los países con más detecciones incluyen Perú, Egipto, Tailandia, Indonesia, Turquía, Brasil, México, Sudáfrica, Polonia e India. Avast destacó por primera vez a AceCryptor en agosto de 2022, detallando el uso del malware para distribuir Stop ransomware y RedLine Stealer a través de Discord en forma de archivos 7-Zip.
Los crypters son similares a los packers, pero en lugar de utilizar compresión, se sabe que ofuscan el código del malware con encriptación para dificultar su detección y reversión. También son indicativos de una tendencia en la que los autores de malware publicitan estas capacidades para otros actores amenazantes, que son menos técnicamente sofisticados o que buscan fortalecer sus creaciones.
"Aunque los actores de amenazas pueden crear y mantener sus propios crypters personalizados, para los actores de crimeware a menudo puede resultar una tarea que consume mucho tiempo o técnicamente difícil mantener su crypter en un estado denominado 'FUD' (totalmente indetectable)", dijo el investigador de ESET, Jakub Kaloč. "La demanda de esta protección ha creado múltiples opciones de crypter como servicio (CaaS) que empacan malware".
El malware empaquetado por AceCryptor se distribuye mediante instaladores de software pirateado trojanizados, correos electrónicos de spam con archivos adjuntos maliciosos u otro malware que ya ha comprometido un sistema. También se sospecha que se vende como un CaaS, debido al hecho de que es utilizado por múltiples actores de amenazas para propagar una amplia gama de familias de malware.
El crypter está fuertemente ofuscado, incorporando una arquitectura de tres capas para desencriptar y desempaquetar progresivamente cada etapa y finalmente ejecutar la carga útil, al mismo tiempo que utiliza técnicas anti-VM, anti-depuración y anti-análisis para pasar desapercibido. Según ESET, se cree que se introdujo una segunda capa en 2019 como un mecanismo de protección adicional.
Estos hallazgos surgen a medida que otro servicio de crypter, denominado ScrubCrypt, ha sido utilizado por grupos de criptosecuestro como el Grupo 8220 para minar criptomonedas de forma ilícita en sistemas infectados. A principios de enero, Check Point también descubrió un packer conocido como TrickGate que se utiliza para desplegar una amplia gama de malware, como TrickBot, Emotet, AZORult, Agent Tesla, FormBook, Cerber, Maze y REvil, durante más de seis años.
¿Quieres saber más?