AceCryptor : l’un des secrets du succès des infostealers
Si les logiciels malveillants dérobeurs de données d’identification, les infostealers, continuent d’échapper largement à la détection, ce pourrait bien être aussi grâce à l’utilisation de maliciels camoufleurs, à commencer par le très répandu AceCryptor.
Les logiciels malveillants dérobeurs de données d’identification, les infostealers, font la démonstration d’une insolente capacité à passer au travers des filets des systèmes de protection des postes de travail (EPP).
La cupidité comme les délais de propagation des signatures peuvent contribuer à expliquer ce succès. Mais, interrogés par la rédaction, les chercheurs d’Eset avançaient aussi l’hypothèse du recours à des maliciels spécialisés dans le camouflage : « dans certains cas, le malware est déployé à l’aide d’un loader ou downloader plus complexe que RedLine lui-même. Il est possible que certains d’entre eux contiennent des fonctionnalités plus avancées d’évasion ou d’exploitation. Ils sont généralement très obfusqués. Cette obfuscation peut aider à éviter la détection sur le disque, mais n’est pas suffisante pour échapper aux détections en mémoire ».
Cette piste pourrait bien s’avérer particulièrement pertinente. Les équipes d’Eset viennent de publier une étude sur l’un de ces maliciels de camouflage, AceCryptor. Avast s’était penché dessus en août 2022. Son concurrent est allé plus loin, détaillant ses capacités… et l’étendue de son adoption.
Dans un billet de blog, les chercheurs d’Eset évoquent un camoufleur proposé en mode service (CaaS, pour Cryptor-as-a-Service) activement maintenu pour préserver son état « FUD » (fully undetectable, ou « pleinement indétectable », en français).
Pour faire simple, AceCryptor présente une première couche conçue pour en charger une seconde, chiffrée, en mémoire vive, avant de la déchiffrer et d’en lancer l’exécution. Celle-ci contient du code indifférent à son positionnement en mémoire vive, ainsi que les données de la troisième couche, compressées et chiffrées.
Une fois déchiffrée et décompressée, la troisième couche est exécutée. Elle utilise la technique dite de process hollowing pour charger la véritable charge utile.
AceCryptor embarque des techniques de camouflage destinées à éviter son exécution en sandbox comme en machine virtuelle, ou encore à passer au travers des règles Yara.
Entre 2021 et 2022, les outils d’Eset ont détecté plus de 80 000 échantillons uniques d’AceCryptor – avec parfois plus de 700 en une semaine – pour un total de plus de 240 000 détections sur la période considérée. Cachés au sein de ceux-ci, des échantillons – 7 000 uniques – de multiples maliciels divers et variés sont apparus, avec en seconde position : Redline Stealer, et en quatrième, Raccoon Stealer.
Les chercheurs d’Eset sont d’ailleurs formels : « les distributeurs de RedLine Stealer utilisent AceCryptor depuis le début de l’existence de RedLine Stealer et continuent à le faire ». Pourquoi changer une recette qui fonctionne.