Een multinationale wetshandhavingsoperatie heeft geresulteerd in de verwijdering van een online cybercriminaliteitssyndicaat dat diensten bood aan dreigingsactoren om ervoor te zorgen dat hun kwaadaardige software onopgemerkt bleef van beveiligingssoftware.
Daartoe zei het Amerikaanse ministerie van Justitie (DOJ) dat het vier domeinen in beslag nam en dat hun bijbehorende server de crypting -service op 27 mei 2025 vergemakkelijkte, in samenwerking met de Nederlandse en Finse autoriteiten. Deze omvatten AvCheck (.) Net, Cryptor (.) Biz en Crypt (.) Guru, die nu allemaal een aanval van aanvallen weergeven.
Andere landen die aan de inspanning hebben deelgenomen, zijn Frankrijk, Duitsland, Denemarken, Portugal en Oekraïne.
“Crypting is het proces van het gebruik van software om malware moeilijk te maken voor antivirusprogramma’s om te detecteren,” zei de DOJ. “De in beslag genomen domeinen boden services aan cybercriminelen, inclusief contra-antivirus (CAV) -hulpmiddelen. Bij elkaar kunnen CAV- en cryptervices criminelen malware verdoezelen, waardoor het niet detecteerbaar wordt en ongeautoriseerde toegang tot computersystemen mogelijk maken.”
De DOJ zei dat autoriteiten undercover -aankopen hebben gedaan om de diensten te analyseren en bevestigden dat ze werden gebruikt voor cybercriminaliteit. In een gecoördineerde aankondiging karakteriseerden Nederlandse functionarissen Avcheck als een van de grootste CAV -diensten die door slechte acteurs over de hele wereld worden gebruikt.
Volgens snapshots die zijn vastgelegd door het internetarchief, heeft Avcheck (.) Net zichzelf gefactureerd als een “high-speed antivirus Scantime Checker”, met de mogelijkheid voor geregistreerde gebruikers om hun bestanden te scannen tegen 26 antivirusmotoren, evenals domeinen en IP-adressen met 22 antivirusmotoren en blocklijsten.
De domeinaanbevallen werden uitgevoerd als onderdeel van Operation Endgame, een voortdurende wereldwijde inspanning gelanceerd in 2024 om cybercriminaliteit te ontmantelen. Het markeert de vierde grote actie in de afgelopen weken na de verstoring van Lumma Stealer, Danabot, en honderden domeinen en servers die door verschillende malwarefamilies worden gebruikt om ransomware te leveren.
“Cybercriminelen creëren niet alleen malware; ze perfectioneren het voor maximale vernietiging,” zei FBI Houston Special Agent verantwoordelijk Douglas Williams. “Door gebruik te maken van contra-antivirusdiensten, verfijnen kwaadaardige actoren hun wapens tegen ’s werelds zwaarste beveiligingssystemen om beter voorbij firewalls te glijden, forensische analyse te ontwijken en grote schade aan te richten over de systemen van slachtoffers.”
De ontwikkeling komt als eSentire gedetailleerde Purecrypter, een malware-as-a-service (MAAS) -oplossing die wordt gebruikt om informatie-stealers zoals Lumma en Rhadamanthys te distribueren met behulp van de ClickFix Initial Access Vector.
Op de markt gebracht op HackForums (.) Netto door een dreigingsacteur genaamd PureCoder voor $ 159 voor drie maanden, $ 399 voor een jaar, of $ 799 voor levenslange toegang, wordt de crypter gedistribueerd met behulp van een geautomatiseerd telegramkanaal, @thepurebot, die ook dient als een markt voor andere aanbiedingen, inclusief purerat en purelogen.
Net als andere leveranciers van dergelijke tools, vereist PureCoder dat gebruikers een Service -overeenkomst (TOS) -overeenkomst (TOS) erkennen die beweert dat de software alleen voor educatieve doeleinden wordt bedoeld en dat alle overtredingen zouden leiden tot onmiddellijke intrekking van hun toegang en seriële sleutel.
De malware bevat ook de mogelijkheid om de NTManageHotPatch API te patchen in het geheugen op Windows-machines die 24H2 of nieuwer om op procesholling gebaseerde code-injectie opnieuw in te schakelen. De bevindingen laten zien hoe dreigingsacteurs zich snel aanpassen en manieren bedenken om nieuwe beveiligingsmechanismen te verslaan.
“De malware maakt gebruik van meerdere ontwijkingstechnieken, waaronder AMSI-bypass, Dll onhoofd, anti-VM-detectie, anti-debugging-maatregelen en recent toegevoegde mogelijkheden om Windows 11 24H2 beveiligingsfuncties te omzeilen via NTManageHotPatch API-patching,” zei het Canadian Cybersecurity Company.
“De ontwikkelaars gebruiken misleidende marketingtactieken door de status van ‘volledig onopgemerkt’ (FUD) te bevorderen op basis van Netresultaten van AvCheck (.), Terwijl ViRustotal detectie toont door meerdere AV/EDR -oplossingen, die belangrijke discrepanties in detectiesnelheden onthullen.”
