ESETはこのほど、「Shedding light on AceCryptor and its operation|WeLiveSecurity」において、「AceCryptor」と呼ばれているマルウェアのパッキングサービスの存在について伝えた。AceCryptorは数十のマルウェアファミリーで使われ、Cryptor-as-a-Serviceとして運用されている暗号化プログラムの詳細が明らかになった。

  • Shedding light on AceCryptor and its operation|WeLiveSecurity

    Shedding light on AceCryptor and its operation|WeLiveSecurity

AceCryptorは2016年に登場し、2022年8月にAvastによって初めて文書化されたとされているクリプタ。さまざまなマルウェアファミリーをパックするために使われており、SmokeLoader、RedLine Stealer、RanumBot、Raccoon Stealer、STOP、Amadey、Fareit、Pitou、Tofsee、Taurus、Phobos、Formbook、Danabot、Warzoneなどがパックされていることが確認されている。

  • Malware families packed inside AceCryptor during 2021 and 2022|WeLiveSecurity

    Malware families packed inside AceCryptor during 2021 and 2022|WeLiveSecurity

AceCryptorは世界中のあらゆる場所で目撃されており、2021年から2022年にかけてESETのテレメトリで24万件以上の検出があったことが報告されている。これは1カ月当たり1万件以上の検出があったことに相当する。ペルー、エジプト、タイ、インドネシア、トルコ、ブラジル、メキシコ、南アフリカ、ポーランド、インドなどで大きな影響を受けたことが報告されている。

  • Number of AceCryptor detections during the years 2021 and 2022 (7-day moving average)|WeLiveSecurity

    Number of AceCryptor detections during the years 2021 and 2022 (7-day moving average)|WeLiveSecurity

  • Heatmap of countries affected by AceCryptor according to ESET telemetry|WeLiveSecurity

    Heatmap of countries affected by AceCryptor according to ESET telemetry|WeLiveSecurity

AceCryptorは複数の脅威アクターに使われているため、配布もさまざま方法で行われている。AceCryptorを搭載したマルウェアは主に海賊版ソフトウェアに偽装されたインストーラを通じて配布されるか、スパムメールの添付ファイルに偽装されて送信されることが多いと説明している。さらに、他のマルウェアのダウンロード機能によりAceCryptorで保護された新たなマルウェアが読み込まれ、感染が拡大することもあると述べている。

AceCryptorは長期間にわたり広まっている暗号化マルウェアであり、複数のマルウェアファミリーによって使用されている。静的検出からの保護手段として利用されており、ダークWeb市場やアンダーグラウンドフォーラムで販売されている可能性が高いと予想されている。AceCryptorは多くの脅威アクターに使われていることから誰でも影響を受ける可能性があると警告されている。