Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont révélé aujourd’hui des détails sur AceCryptor, un malware de chiffrement très répandu qui est proposé sous forme de service, et qui est utilisé par des dizaines de familles de malwares. Cette menace existe depuis 2016 et a été diffusée dans le monde entier. De nombreux pirates l’utilisent activement pour diffuser des malwares packagés dans leurs campagnes. En 2021 et en 2022, la télémétrie d’ESET a détecté plus de 240 000 occurrences de ce malware, soit plus de 10 000 par mois. Il est probablement vendu sur le dark web ou sur des forums clandestins, et des dizaines de familles de malwares différentes ont utilisé les services de ce malware de chiffrement comme principale protection contre les détections statiques.
Les chercheurs d’ESET publient des informations sur AceCryptor, un malware d’offuscation (1) très répandu qui est proposé sous forme de service, et qui est utilisé par des dizaines de familles de malwares.
Les échantillons d’AceCryptor sont repérés dans le monde entier car de nombreux pirates utilisent ce logiciel malveillant pour diffuser leurs malwares packagés.
En 2021 et en 2022, ESET a protégé plus de 80 000 clients touchés par des malwares packagés par AceCryptor.
Au total, 240 000 détections ont été enregistrées. Cela représente plus de 10 000 occurrences par mois.
Parmi les familles de malwares qui utilisent AceCryptor, l’une des plus répandues est RedLine Stealer, un malware utilisé pour voler des informations de cartes bancaires et des données sensibles, transmettre des fichiers et même voler de la cryptomonnaie.
AceCryptor est fortement obscurci et possède de multiples variantes. Au fil des années, il a intégré de nombreuses techniques pour échapper aux détections.
« Pour les auteurs de malwares, il est difficile de protéger leurs créations contre la détection. Les outils de chiffrement (https://fr.wikipedia.org/wiki/Offuscation) constituent leur première couche de défense. Même si les pirates peuvent créer et maintenir leurs propres outils de chiffrement, il leur est compliqué de les maintenir à jour pour les rendre indétectables. La demande pour ce type de protection a donné naissance à de multiples offres de services. » explique Jakub Kaloč, le chercheur chez ESET qui a analysé AceCryptor.
Parmi les familles de malwares qui utilisent AceCryptor, l’une des plus répandues est RedLine Stealer, un malware disponible à l’achat sur des forums clandestins et utilisé pour voler des informations de cartes bancaires et d’autres données sensibles, transmettre des fichiers et même voler de la cryptomonnaie. RedLine Stealer a été vu pour la première fois au premier trimestre 2022. Ses opérateurs ont utilisé AceCryptor depuis lors et continuent de le faire. « Ainsi, le fait de pouvoir détecter AceCryptor de manière fiable nous apporte non seulement une visibilité sur les nouvelles menaces émergentes, mais nous permet également de surveiller les activités des pirates, » explique M. Kaloč.
En 2021 et en 2022, ESET a protégé plus de 80 000 clients affectés par des malwares packagés par AceCryptor. Au total, 240 000 détections ont été enregistrées. AceCryptor est fortement obscurci et a intégré au fil des années de nombreuses techniques pour échapper aux détections.
« Même si nous ne connaissons pas le prix exact de ce service, avec ce nombre de détections, nous supposons que les gains pour les auteurs d’AceCryptor ne sont pas négligeables, » suppose M. Kaloč.
AceCryptor étant utilisé par de nombreux pirates, les malwares qu’il contient sont diffusés de différentes manières. Selon les données de télémétrie d’ESET, les appareils exposés au malware AceCryptor l’ont principalement été via des programmes d’installation de logiciels piratés contenant des chevaux de Troie ou d’emails de spam contenant des pièces jointes malveillantes. L’exposition à des malwares téléchargeant de nouveaux malwares protégés par AceCryptor est une autre possibilité. Le botnet Amadey en est un exemple : nous avons observé qu’il téléchargeait RedLine Stealer packagé par AceCryptor.
Étant donné que de nombreux pirates utilisent le malware, n’importe qui peut être touché, et en raison de la diversité des malwares packagés, il est difficile d’estimer la gravité des conséquences pour une victime compromise. AceCryptor peut avoir été téléchargé par d’autres malwares déjà en cours d’exécution sur l’ordinateur de la victime ou, si la victime a été directement touchée en ouvrant par exemple une pièce jointe malveillante, tout malware à l’intérieur peut avoir téléchargé d’autres malwares. Ainsi, plusieurs familles de malwares peuvent être présentes simultanément.
AceCryptor possède de multiples variantes et utilise actuellement une architecture à trois couches comportant plusieurs étapes.
Il n’est pas possible pour l’instant d’attribuer AceCryptor à un acteur malveillant en particulier. D’autre part, ESET Research s’attend à ce qu’AceCryptor continue d’être largement utilisé. Une surveillance étroite aidera à prévenir et à découvrir de nouvelles campagnes de familles de logiciels malveillants utilisant cet outil de chiffrement.
Pour plus d’informations techniques sur AceCryptor, consultez l’article « Shedding light on AceCryptor and its operation » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Carte des pays touchés par AceCryptor selon la télémétrie d’ESET.
Comments