自2016年以來，出現(xiàn)了一種名為AceCryptor的加密惡意軟件，被用于打包各種惡意軟件。

斯洛伐克網(wǎng)絡(luò)安全公司ESET表示，他們在2021年和2022年的遙測中發(fā)現(xiàn)了超過24萬次密碼檢測，且每月的點擊量超過1萬次。

AceCryptor中包含一些比較知名的惡意軟件，比如SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware和Amadey等，且多發(fā)現(xiàn)于秘魯、埃及、泰國、印度尼西亞、土耳其、巴西、墨西哥、南非、波蘭和印度。

Avast于2022年8月首次對AceCryptor進行了詳細說明，介紹了該惡意軟件以7-Zip文件的形式在Discord上分發(fā)Stop勒索軟件和紅線竊取器。

加密器的原理與打包器類似，但不是使用壓縮，而是用加密來混淆惡意軟件的代碼，使檢測和反向工程更具挑戰(zhàn)性。

ESET研究員Jakub kalonik說：盡管威脅行為者可以創(chuàng)建和維護他們自己的自定義密碼，但對于犯罪軟件威脅行為者來說，將他們的密碼保持在所謂的FUD(完全不可檢測)狀態(tài)通常是一項耗時或技術(shù)上困難的任務(wù)。

對這種保護的需求創(chuàng)造了多種打包惡意軟件的加密即服務(wù)(CaaS)選項。acecryptor包裝的惡意軟件是通過盜版軟件的木馬安裝程序、帶有惡意附件的垃圾郵件或其他已經(jīng)危及主機的惡意軟件來傳遞的。它也被懷疑是作為CaaS出售的，因為它被多個威脅者用來傳播不同的惡意軟件。

據(jù)悉，該加密器被嚴重混淆，并納入了一個三層架構(gòu)，以逐步解密和解包每個階段，并最終啟動有效載荷，同時還具有反虛擬機、反調(diào)試和反分析技術(shù)，以便在雷達下飛行。

據(jù)ESET稱，第二層似乎是在2019年引入的，作為一種額外的保護機制。另一個代號為ScrubCrypt的加密器服務(wù)曾被8220團伙等加密劫持組織利用，因其在受感染的主機上非法挖掘加密貨幣。

今年1月初，Check Point還發(fā)現(xiàn)了一個名為TrickGate的打包器，它被用來部署各種惡意軟件，比如TrickBot、Emotet、AZORult、Agent Tesla、FormBook、Cerber、Maze和REvil。