Специалисты Positive Technologies провели анализ криптора «Crypters And Tools», используемого кибергруппировками «PhaseShifters», «TA558» и «Blind Eagle» для атак на организации по всему миру, включая Россию.
Это исследование показало, что злоумышленники применяют данный инструмент для маскировки вредоносного ПО, предоставляемого по подписке (CaaS).
Эксперты впервые обратили внимание на «Crypters And Tools» в 2024 году, изучая атаки «PhaseShifters» на российские организации.
Хакеры использовали сервис для создания загрузчиков — программ, которые тайно устанавливают вредоносное ПО на компьютеры жертвы.
Криптор помогает маскировать опасные файлы и затруднять их анализ, используя методы шифрования, упаковки и обфускации кода.
При изучении социальных сетей, связанных с криптором, эксперты обнаружили, что под разными названиями «Crypters And Tools» существует с лета 2022 года.
Исследователи пришли к выводу, что разработчик инструмента, вероятно, находится в Бразилии.
Это предположение основано на наличии фрагментов кода на португальском языке, обучающих видео с видимыми IP-адресами автора, а также упоминании бразильских реалов и CPF — аналога индивидуального номера налогоплательщика в Бразилии.
Также были отмечены обмены на криптобирже, что указывает на экономическую активность разработчика в этой стране.
Данный анализ указывает на растущую угрозу, исходящую от плохо защищенных IT-платформ и уязвимых организаций.
Специалисты в области кибербезопасности из Positive Technologies сообщают о росте угроз, связанных с использованием «Crypters And Tools», сервиса, предназначенного для маскировки вредоносных загрузчиков, таких как «Ande Loader». Эти загрузчики могут скрываться в изображениях и внедряться в легитимные процессы Windows. В результате, атаки становятся более скрытными и сложными для выявления.
География таких атак охватывает Восточную Европу, Латинскую Америку, Россию и США. Например, группировка «Blind Eagle» применяла аналогичные техники обфускации в своих кампаниях против предприятий обрабатывающей промышленности в Северной Америке в 2023–2024 гг. С момента запуска сервиса в 2022 году идентифицировано около 3000 файлов, созданных с его помощью.
Хакеры могут получить доступ к «Crypters And Tools» только по подписке; им необходимо указать URL с вредоносными файлами и настроить параметры, такие как тип загрузчика и методы маскировки. Исследования также указывают на растущий интерес к готовому вредоносному ПО, как «Crypters And Tools», среди киберзлоумышленников.
В условиях данной угрозы организации призваны внедрять современные анализаторы сетевого трафика и средства защиты конечных точек, а также обучать сотрудников для распознавания атак, основанных на социальной инженерии. Вопрос безопасности информации становится все более актуальным, и многие компании пытаются передать его на аутсорсинг, чтобы сосредоточиться на своих ключевых бизнес-процессах.
