Cyberthreat.id –Malware crypter (dieja cryptor) yang dikenal dengan nama AceCryptor memiliki riwayat yang panjang dalam memproduksi berbagai jenis malware. Memulai debutnya sejak 2016, AceCryptor masih eksis dalam alam liar hingga saat ini.

Perusahaan keamanan siber Slovakia ESET mengatakan telah mengidentifikasi lebih dari 240.000 pendeteksian crypter dalam telemetrinya pada tahun 2021 dan 2022. Jumlah ini mencapai lebih dari 10.000 hit per bulan. Demikian laporan The Hacker News.

Beberapa keluarga malware terkemuka yang terkandung dalam AceCryptor antara lain SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware, dan Amadey. Sedangkan negara yang paling banyak terdeteksi adalah Peru, Mesir, Thailand, india, Turki, Brasil, Meksiko, Afrika Selatan, Polandia, dan India.

AceCryptor pertama kali disorot oleh Avast pada Agustus 2022, merinci penggunaan malware untuk mendistribusikan Stop ransomware dan RedLine Stealer on Discord dalam bentuk file 7-Zip.

Mirip dengan packer, namun Crypters tidak bertujuan menggunakan kompresi, mereka diketahui mengaburkan kode malware dengan enkripsi untuk membuat deteksi dan rekayasa balik jauh lebih menantang.

Mereka juga menunjukkan tren di mana pembuat malware mempromosikan kemampuan seperti itu untuk pelaku ancaman lain, kurang canggih secara teknis atau sebaliknya, yang ingin melindungi kreasi mereka.

“Meskipun pelaku ancaman dapat membuat dan memelihara cryptor kustom mereka sendiri, bagi pelaku ancaman crimeware seringkali merupakan tugas yang memakan waktu atau sulit secara teknis untuk mempertahankan cryptor mereka dalam keadaan yang disebut FUD (sepenuhnya tidak terdeteksi),” kata peneliti ESET Jakub Kaloč.

"Permintaan untuk perlindungan semacam itu telah menciptakan beberapa opsi crypter-as-a-service (CaaS) yang mengemas malware." Malware yang dikemas AceCryptor dikirim melalui penginstal trojan dari perangkat lunak bajakan, email spam berisi lampiran berbahaya, atau malware lain yang telah membahayakan host.

Itu juga diduga dijual sebagai CaaS, karena fakta bahwa itu digunakan oleh banyak pelaku ancaman untuk menyebarkan beragam keluarga malware.

Temukan bagaimana Penipuan dapat mendeteksi ancaman tingkat lanjut, menghentikan pergerakan lateral, dan meningkatkan strategi Zero Trust Anda. Bergabunglah dengan webinar penuh wawasan kami!

Crypter ini sangat dikaburkan, menggabungkan arsitektur tiga lapis untuk secara progresif mendekripsi dan membongkar setiap tahap dan akhirnya meluncurkan payload, sementara juga menampilkan teknik anti-VM, anti-debugging, dan anti-analisis untuk terbang di bawah radar.\

Lapisan kedua, menurut ESET, dikatakan telah diperkenalkan pada 2019 sebagai mekanisme perlindungan ekstra.

Temuan ini muncul ketika layanan crypter lain dengan nama kode ScrubCrypt telah dimanfaatkan oleh kelompok cryptojacking seperti 8220 Gang untuk secara ilegal menambang cryptocurrency pada host yang terinfeksi.

Awal Januari ini, Check Point juga menemukan paket yang dikenal sebagai TrickGate yang digunakan untuk menyebarkan berbagai malware seperti TrickBot, Emotet, AZORult, Agen Tesla, FormBook, Cerber, Maze, dan REvil selama lebih dari enam tahun.[]