Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET Research révèle AceCryptor, un logiciel malveillant utilisé plus de 10 000 fois par mois

juin 2023 par ESET

Les chercheurs d’ESET ont révélé des détails sur AceCryptor, un malware de chiffrement très répandu qui est proposé sous forme de service, et qui est utilisé par des dizaines de familles de malwares. Cette menace existe depuis 2016 et a été diffusée dans le monde entier. De nombreux pirates l’utilisent activement pour diffuser des malwares packagés dans leurs campagnes. En 2021 et en 2022, la télémétrie d’ESET a détecté plus de 240 000 occurrences de ce malware, soit plus de 10 000 par mois. Il est probablement vendu sur le dark web ou sur des forums clandestins, et des dizaines de familles de malwares différentes ont utilisé les services de ce malware de chiffrement comme principale protection contre les détections statiques.

« Pour les auteurs de malwares, il est difficile de protéger leurs créations contre la détection. Les outils de chiffrement constituent leur première couche de défense. Même si les pirates peuvent créer et maintenir leurs propres outils de chiffrement, il leur est compliqué de les maintenir à jour pour les rendre indétectables. La demande pour ce type de protection a donné naissance à de multiples offres de services. » explique Jakub Kaloč, le chercheur chez ESET qui a analysé AceCryptor.

Parmi les familles de malwares qui utilisent AceCryptor, l’une des plus répandues est RedLine Stealer, un malware disponible à l’achat sur des forums clandestins et utilisé pour voler des informations de cartes bancaires et d’autres données sensibles, transmettre des fichiers et même voler de la cryptomonnaie. RedLine Stealer a été vu pour la première fois au premier trimestre 2022. Ses opérateurs ont utilisé AceCryptor depuis lors et continuent de le faire. « Ainsi, le fait de pouvoir détecter AceCryptor de manière fiable nous apporte non seulement une visibilité sur les nouvelles menaces émergentes, mais nous permet également de surveiller les activités des pirates, » explique M. Kaloč.

En 2021 et en 2022, ESET a protégé plus de 80 000 clients affectés par des malwares packagés par AceCryptor. Au total, 240 000 détections ont été enregistrées. AceCryptor est fortement obscurci et a intégré au fil des années de nombreuses techniques pour échapper aux détections.

« Même si nous ne connaissons pas le prix exact de ce service, avec ce nombre de détections, nous supposons que les gains pour les auteurs d’AceCryptor ne sont pas négligeables, » suppose M. Kaloč.

AceCryptor étant utilisé par de nombreux pirates, les malwares qu’il contient sont diffusés de différentes manières. Selon les données de télémétrie d’ESET, les appareils exposés au malware AceCryptor l’ont principalement été via des programmes d’installation de logiciels piratés contenant des chevaux de Troie ou d’emails de spam contenant des pièces jointes malveillantes. L’exposition à des malwares téléchargeant de nouveaux malwares protégés par AceCryptor est une autre possibilité. Le botnet Amadey en est un exemple : nous avons observé qu’il téléchargeait RedLine Stealer packagé par AceCryptor.

Étant donné que de nombreux pirates utilisent le malware, n’importe qui peut être touché, et en raison de la diversité des malwares packagés, il est difficile d’estimer la gravité des conséquences pour une victime compromise. AceCryptor peut avoir été téléchargé par d’autres malwares déjà en cours d’exécution sur l’ordinateur de la victime ou, si la victime a été directement touchée en ouvrant par exemple une pièce jointe malveillante, tout malware à l’intérieur peut avoir téléchargé d’autres malwares. Ainsi, plusieurs familles de malwares peuvent être présentes simultanément.

AceCryptor possède de multiples variantes et utilise actuellement une architecture à trois couches comportant plusieurs étapes.

Il n’est pas possible pour l’instant d’attribuer AceCryptor à un acteur malveillant en particulier. D’autre part, ESET Research s’attend à ce qu’AceCryptor continue d’être largement utilisé. Une surveillance étroite aidera à prévenir et à découvrir de nouvelles campagnes de familles de logiciels malveillants utilisant cet outil de chiffrement.


Voir les articles précédents

    

Voir les articles suivants