Эксперты выявили новый вредоносный сервис

Аналитики Threat Intelligence Positive Technologies изучили криптор Crypters And Tools, который активно применяли кибергруппировки PhaseShifters, TA558 и Blind Eagle в своих атаках на организации по всему миру, включая Россию.

Расследование выявило, что хакеры использовали этот инструмент для маскировки вредоносного ПО, а доступ к сервису предоставлялся по подписке (crypter as a service, CaaS).Впервые аналитики обратили внимание на Crypters And Tools во время расследования атак группировки PhaseShifters на отечественные организации в ушедшем году. 

Киберпреступники использовали этот сервис для создания загрузчиков – специальных программ, которые тайно доставляют на компьютер жертвы вредоносное ПО. Криптор позволяет маскировать опасные файлы и затруднять их анализ с помощью специальных методов шифрования, упаковки и обфускации – намеренного усложнения кода.

Специалисты изучили связанные с криптором социальные сети и выяснили, что под разными названиями Crypters And Tools существует как минимум с лета 2022 года. Разработчик вредоноса, скорее всего, находится в Бразилии. На это указывают фрагменты кода на португальском языке.

«Crypters And Tools упрощает проведение атак, маскируя загрузчики Ande Loader, которые скрываются в картинках и внедряются в легитимные процессы Windows. Это часть тренда: рынок киберпреступности растет и подобные инструменты становятся все популярнее и доступнее», – заявил специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies Климентий Галкин.