pts20230525017 Technologie/Digitalisierung, Forschung/Entwicklung

Tarnkappe gelüftet: ESET entzaubert Crypto-Malware AceCryptor

AceCryptor befällt monatlich 10.000 Rechner weltweit


ESET enttarnt Crypto-Malware AceCryptor (Bild: ESET)
ESET enttarnt Crypto-Malware AceCryptor (Bild: ESET)

Jena (pts017/25.05.2023/11:45)

Professionelle Malware ist besonders erfolgreich, wenn sie anhand geschickter Verschleierung die Erkennung durch Sicherheitslösungen aushebeln kann. Die vermutlich bekannteste Tarnkappe für Schadcode – AceCryptor – haben die Experten des Sicherheitsherstellers ESET nun allerdings entmystifiziert. Dieser Cryptor-as-a-Service wird seit 2016 von Bedrohungsakteuren weltweit und aktiv für den Schutz dutzender Malware-Familien genutzt. Allein in den Jahren 2021 und 2022 hat die ESET-Telemetrie mehr als 240.000 Entdeckungen dieser Malware gemacht. Das entspricht mehr als 10.000 Erkennungen pro Monat. AceCryptor wird wahrscheinlich im Dark Web oder in Untergrundforen verkauft und erfreut sich bei Cyberkriminellen größter Beliebtheit. Ihre Ergebnisse haben die ESET-Experten auf dem Security-Blog WeLiveSecurity.de veröffentlicht. www.welivesecurity.com/deutsch/2023/05/25/acecryptor-und-seine-funktionsweise-im-detail

Tarnung hilft vor Entdeckung

"Für Malware-Autoren ist es eine Herausforderung, ihre Kreationen vor Entdeckung zu schützen. Kryptographen sind die erste Verteidigungsschicht für Malware, die in Umlauf gebracht wird. Auch wenn Bedrohungsakteure ihre eigenen benutzerdefinierten Kryptoren erstellen und warten könnten, ist es für sie oft zeitaufwändig oder technisch schwierig, ihren Kryptor in einem vollständig unentdeckbaren Zustand zu halten. Die Nachfrage nach einem solchen Schutz hat mehrere Cryptor-as-a-Service-Optionen hervorgebracht, die Malware verpacken", sagt ESET-Forscher Jakub Kaloč, der AceCryptor analysiert hat. AceCryptor hat im Laufe der Jahre viele neue Techniken hinzugefügt, um nicht erkannt zu werden.

Berüchtigter "RedLine Stealer" setzt auf AceCryptor

Unter den entdeckten Malware-Familien, die AceCryptor verwenden, war eine der häufigsten, der sogenannte RedLine Stealer. Dieser Schadcode wird in Untergrundforen zum Kauf angeboten und dient dazu, sensible Daten zu erbeuten oder Dateien ohne Erlaubnis des Anwenders hoch- und herunterzuladen. Im Fokus stehen dabei das Auslesen von Kreditkarteninformationen und das Stehlen von Kryptowährungen. RedLine Stealer wurde zum ersten Mal im ersten Quartal 2022 gesichtet. Seitdem nutzen die Kriminellen AceCryptor in großem Maße. "Die zuverlässige Erkennung von AceCryptor hilft uns nicht nur bei der Identifizierung aufkommender Bedrohungen, sondern auch bei der Überwachung der Aktivitäten von Bedrohungsakteuren", sagt Kaloč.

Vielfältige Verbreitung von Raupkopien bis Spam

"Auch wenn wir den genauen Preis dieses Dienstes nicht kennen, gehen wir davon aus, dass der Gewinn für die Autoren von AceCryptor bei dieser Anzahl von Entdeckungen beträchtlich ist", sagt Kaloč. Da AceCryptor von mehreren Bedrohungsakteuren eingesetzt wird, sind die Verbreitungswege weit gestreut. Laut ESET-Telemetrie wurden Geräte mit AceCryptor-Malware hauptsächlich über trojanische Installationsprogramme für raubkopierte Software oder Spam-E-Mails mit bösartigen Anhängen infiziert. Eine andere Möglichkeit ist, dass Malware weiteren durch AceCryptor geschützten Schadcode nachlädt. Ein Beispiel hierfür ist das Amadey-Botnet, das einen mit AceCryptor gepackten RedLine Stealer heruntergeladen hat.

AceCryptor existiert in mehreren Varianten und verwendet derzeit eine mehrstufige, dreischichtige Architektur. Obwohl es derzeit nicht möglich ist, die Schadsoftware einem bestimmten Bedrohungsakteur zuzuordnen, geht ESET Research davon aus, dass AceCryptor weiterhin weit verbreitet sein wird. Eine genauere Überwachung wird dazu beitragen, neue Kampagnen von Malware-Familien mit diesem Kryptor zu verhindern und zu entdecken.

Weitere Details auf Welivesecurity.de

Zusätzliche technische Informationen finden Sie im Blogpost "AceCryptor und seine Funktionsweise im Detail" auf WeLiveSecurity.de: www.welivesecurity.com/deutsch/2023/05/25/acecryptor-und-seine-funktionsweise-im-detail

(Ende)
Aussender: ESET Deutschland GmbH
Ansprechpartner: Michael Klatte
Tel.: +49 3641 3114 257
E-Mail: michael.klatte@eset.de
Website: www.eset.com/de/
|