Los investigadores de ESET han revelado detalles sobre AceCryptor, un cifrador muy extendido que opera como un cryptor-as-a-service (cifrador como servicio) utilizado por decenas de familias de malware. Esta amenaza existe desde 2016 y se ha distribuido por todo el mundo, con múltiples desarrolladores de amenazas que la utilizan activamente para propagar malware empaquetado en sus campañas.
Durante 2021 y 2022, la telemetría de ESET detectó más de 240.000 impactos de este malware, lo que equivale a más de 10.000 detecciones cada mes. Es probable que se venda en la dark web o en foros clandestinos, y decenas de familias de malware diferentes han utilizado los servicios de este empaquetador. Muchos confían en este cifrador para tratar de evitar las detecciones mediante análisis estáticoss realizados por las soluciones de seguridad.
“Para los creadores de malware, proteger sus creaciones contra la detección es todo un reto. Los cifradores son la primera capa de defensa que utilizan las amenazas informáticas. Aunque los ciberdelincuentes pueden crear y mantener sus propios cifradores personalizados, para los desarrolladores de malware, este cifrado de su código malicioso a menudo puede llevar mucho tiempo o resultar técnicamente difícil mantenerlo en un estado totalmente indetectable. La demanda por este tipo de protección ha creado múltiples opciones de negocio de cifrado como servicio que empaquetan malware”, declara Jakub Kaloč, el investigador de ESET que ha analizado AceCryptor.
Entre las familias de malware encontradas que utilizaban AceCryptor, una de las más frecuentes era RedLine Stealer, un malware disponible para su compra en foros clandestinos y utilizado para robar credenciales de tarjetas de crédito y otros datos confidenciales, cargar y descargar archivos e incluso robar criptomonedas. RedLine Stealer se vio por primera vez en el primer trimestre de 2022; los distribuidores han utilizado AceCryptor desde entonces, y siguen haciéndolo. “Por lo tanto, ser capaces de detectar AceCryptor de forma fiable no sólo nos ayuda a tener visibilidad sobre las nuevas amenazas emergentes, sino también a supervisar las actividades de los ciberdelincuentes”, explica Kaloč.
