Tarnkappe gelüftet

Crypto-Malware AceCryptor wurde entzaubert

Malware Glas zerbrochen

Professionelle Malware ist besonders erfolgreich, wenn sie anhand geschickter Verschleierung die Erkennung durch Sicherheitslösungen aushebeln kann. Die vermutlich bekannteste Tarnkappe für Schadcode – AceCryptor – haben die Experten des Sicherheitsherstellers ESET nun allerdings entmystifiziert.

Dieser Cryptor-as-a-Service wird seit 2016 von Bedrohungsakteuren weltweit und aktiv für den Schutz dutzender Malware-Familien genutzt. Allein in den Jahren 2021 und 2022 hat die ESET-Telemetrie mehr als 240.000 Entdeckungen dieser Malware gemacht. Das entspricht mehr als 10.000 Erkennungen pro Monat. AceCryptor wird wahrscheinlich im Dark Web oder in Untergrundforen verkauft und erfreut sich bei Cyberkriminellen größter Beliebtheit. Ihre Ergebnisse haben die ESET-Experten auf dem Security-Blog WeLiveSecurity.de veröffentlicht.

Anzeige

Tarnung hilft vor Entdeckung

„Für Malware-Autoren ist es eine Herausforderung, ihre Kreationen vor Entdeckung zu schützen. Kryptographen sind die erste Verteidigungsschicht für Malware, die in Umlauf gebracht wird. Auch wenn Bedrohungsakteure ihre eigenen benutzerdefinierten Kryptoren erstellen und warten könnten, ist es für sie oft zeitaufwändig oder technisch schwierig, ihren Kryptor in einem vollständig unentdeckbaren Zustand zu halten. Die Nachfrage nach einem solchen Schutz hat mehrere Cryptor-as-a-Service-Optionen hervorgebracht, die Malware verpacken“, sagt ESET-Forscher Jakub Kaloč, der AceCryptor analysiert hat. AceCryptor hat im Laufe der Jahre viele neue Techniken hinzugefügt, um nicht erkannt zu werden.

Berüchtigter „RedLine Stealer“ setzt auf AceCryptor

Unter den entdeckten Malware-Familien, die AceCryptor verwenden, war eine der häufigsten, der sogenannte RedLine Stealer. Dieser Schadcode wird in Untergrundforen zum Kauf angeboten und dient dazu, sensible Daten zu erbeuten oder Dateien ohne Erlaubnis des Anwenders hoch- und herunterzuladen. Im Fokus stehen dabei das Auslesen von Kreditkarteninformationen und das Stehlen von Kryptowährungen. RedLine Stealer wurde zum ersten Mal im ersten Quartal 2022 gesichtet. Seitdem nutzen die Kriminellen AceCryptor in großem Maße. „Die zuverlässige Erkennung von AceCryptor hilft uns nicht nur bei der Identifizierung aufkommender Bedrohungen, sondern auch bei der Überwachung der Aktivitäten von Bedrohungsakteuren“, sagt Kaloč.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Vielfältige Verbreitung von Raupkopien bis Spam

„Auch wenn wir den genauen Preis dieses Dienstes nicht kennen, gehen wir davon aus, dass der Gewinn für die Autoren von AceCryptor bei dieser Anzahl von Entdeckungen beträchtlich ist“, sagt Kaloč. Da AceCryptor von mehreren Bedrohungsakteuren eingesetzt wird, sind die Verbreitungswege weit gestreut. Laut ESET-Telemetrie wurden Geräte mit AceCryptor-Malware hauptsächlich über trojanische Installationsprogramme für raubkopierte Software oder Spam-E-Mails mit bösartigen Anhängen infiziert. Eine andere Möglichkeit ist, dass Malware weiteren durch AceCryptor geschützten Schadcode nachlädt. Ein Beispiel hierfür ist das Amadey-Botnet, das einen mit AceCryptor gepackten RedLine Stealer heruntergeladen hat.

Anzeige

AceCryptor existiert in mehreren Varianten und verwendet derzeit eine mehrstufige, dreischichtige Architektur. Obwohl es derzeit nicht möglich ist, die Schadsoftware einem bestimmten Bedrohungsakteur zuzuordnen, geht ESET Research davon aus, dass AceCryptor weiterhin weit verbreitet sein wird. Eine genauere Überwachung wird dazu beitragen, neue Kampagnen von Malware-Familien mit diesem Kryptor zu verhindern und zu entdecken.

www.eset.com/de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.