自2016年以來，出現(xiàn)了一種名為AceCryptor的加密惡意軟件，被用于打包各種惡意軟件。

斯洛伐克網(wǎng)絡(luò)安全公司ESET表示，他們?cè)?021年和2022年的遙測(cè)中發(fā)現(xiàn)了超過24萬次密碼檢測(cè)，且每月的點(diǎn)擊量超過1萬次。

AceCryptor中包含一些比較知名的惡意軟件，比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等，且多發(fā)現(xiàn)于秘魯、埃及、泰國、印度尼西亞、土耳其、巴西、墨西哥、南非、波蘭和印度。

Avast于2022年8月首次對(duì)AceCryptor進(jìn)行了詳細(xì)說明，介紹了該惡意軟件以7-Zip文件的形式在Discord上分發(fā)Stop勒索軟件和紅線竊取器。

加密器的原理與打包器類似，但不是使用壓縮，而是用加密來混淆惡意軟件的代碼，使檢測(cè)和反向工程更具挑戰(zhàn)性。

ESET研究員Jakub kalonik說：盡管威脅行為者可以創(chuàng)建和維護(hù)他們自己的自定義密碼，但對(duì)于犯罪軟件威脅行為者來說，將他們的密碼保持在所謂的FUD(完全不可檢測(cè))狀態(tài)通常是一項(xiàng)耗時(shí)或技術(shù)上困難的任務(wù)。

對(duì)這種保護(hù)的需求創(chuàng)造了多種打包惡意軟件的加密即服務(wù)(CaaS)選項(xiàng)。acecryptor包裝的惡意軟件是通過盜版軟件的木馬安裝程序、帶有惡意附件的垃圾郵件或其他已經(jīng)危及主機(jī)的惡意軟件來傳遞的。它也被懷疑是作為CaaS出售的，因?yàn)樗欢鄠€(gè)威脅者用來傳播不同的惡意軟件。

據(jù)悉，該加密器被嚴(yán)重混淆，并納入了一個(gè)三層架構(gòu)，以逐步解密和解包每個(gè)階段，并最終啟動(dòng)有效載荷，同時(shí)還具有反虛擬機(jī)、反調(diào)試和反分析技術(shù)，以便在雷達(dá)下飛行。

據(jù)ESET稱，第二層似乎是在2019年引入的，作為一種額外的保護(hù)機(jī)制。另一個(gè)代號(hào)為ScrubCrypt的加密器服務(wù)曾被8220團(tuán)伙等加密劫持組織利用，因其在受感染的主機(jī)上非法挖掘加密貨幣。

今年1月初，Check Point還發(fā)現(xiàn)了一個(gè)名為TrickGate的打包器，它被用來部署各種惡意軟件，比如TrickBot、Emotet、AZORult、Agent Tesla、FormBook、Cerber、Maze和REvil。