Os cryptors são ferramentas usadas por cibercriminosos para “disfarçar” o código de software malicioso e evitar deteções. Uma nova investigação da ESET revela centenas de milhares de deteções de malware “camuflado” através do AceCryptor para contornar ciberdefesas.

De acordo com os investigadores, o AceCryptor é usado desde 2016, tendo contribuído para a disseminação de campanhas de malware um pouco por todo o mundo. Só em 2021 e 2022 a telemetria da ESET detetou mais de 240 mil ocorrências de malware “camuflado” com este cryptor, um valor equivalente a mais de 10 mil deteções por mês.

Clique nas imagens para ver com mais detalhe

Acredita-se que o AceCryptor esteja disponível para venda na Dark Web ou em fóruns clandestinos. Os especialistas da ESET realçam que, atualmente, muitas famílias de malware recorrem a este cryptor para evitar deteções.

Uma destas famílias de malware é a RedLine Stealer, detetada pela primeira vez em 2022. O software malicioso permite roubar credenciais de cartões bancários, além de outros dados sensíveis ou até criptomoedas.

Uma vez que o AceCryptor é utilizado por vários tipos de agentes maliciosos, o malware que esconde é distribuído de diversas formas. A ESET indica que uma das principais formas de distribuição é através de programas de instalação de software pirata e de emails de spam com anexos maliciosos. Tendo em conta a diversidade do malware que é disseminado, os investigadores afirmam que é difícil estimar a gravidade das consequências para as vítimas.

Como explica Jakub Kaloč, investigador da ESET citado em comunicado, “para os autores de malware, proteger os seus instrumentos de ataque contra a deteção é um desafio”. “Os cryptors são a primeira camada de defesa do malware que é distribuído”, detalha.

O investigador indica que, embora os criadores de ameaças consigam criar e gerir os seus próprios cryptors, para “os autores de ameaças de malware projetado para o cibercrime automatizado, ou crimeware” este processo por ser demorado ou difícil. “A procura por essa camuflagem deu origem a várias opções de cryptor-as-a-service que incluem malware”.

Para já, ainda não é possível atribuir o AceCryptor a um determinado agente malicioso e os especialistas da ESET prevêem que continue a ser amplamente utilizado. Apenas uma “monitorização atenta ajudará a prevenir e descobrir novas campanhas de famílias de malware com este cryptor”, indicam.