Serviços privados de criptografia para contornar verificações de antivírus e engenharia reversa

Os serviços de criptografia privados oferecem forte proteção e ofuscação. Qualquer ferramenta maliciosa pode ser criptografada para evitar a detecção por software antivírus ou engenharia reversa.
Updated on
April 17, 2026
Published on
October 27, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Categoria: Inteligência de malwareIndústria: SubterrâneoMotivação: FinanceiroRegião: GlobalFonte*: B2

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO
  • Serviços de criptografia privados que oferecem forte proteção e ofuscação.
  • Qualquer ferramenta maliciosa pode ser criptografada para evitar a detecção por software antivírus ou engenharia reversa.
  • Ferramentas maliciosas criptografadas podem ser usadas para orquestrar campanhas fraudulentas.
  • Exfiltração de informações confidenciais.
  • Monitorando um dispositivo via desktop remoto no modo ao vivo.
  • Baixe aplicativos ou software somente de fontes legítimas.
  • Monitore atividades/processos suspeitos no sistema.

Análise e atribuição

Informações do Post

  • CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças anunciando o AV's NIGHTMARE, um serviço privado de criptografia que oferece forte proteção e ofuscação.
  • O serviço oferecido pode criptografar qualquer ferramenta (ladrão, rato, botnet etc.), tornando-a indetectável por antivírus ou engenharia reversa.
  • As seguintes informações foram compartilhadas sobre o serviço:
    • A ferramenta é quase indetectável, pois pode ignorar quase todos os antivírus.
    • Ele permanece escondido da engenharia reversa.
    • O serviço pode funcionar com qualquer RAT, ladrões, arquivos maliciosos, botnets etc.
    • Seu principal objetivo é contornar o Windows Defender.
    • O produto usado para criptografar a ferramenta é codificado em C++.
    • Os serviços variam de USD 30 a USD 160, com base no tipo de pacote e nos recursos.
[caption id="attachment_21256" align="alignnone” width="611"]Threat actor’s advertisement on cybercrime forum Anúncio do ator ameaçador no fórum de crimes cibernéticos [/caption]

Características da ferramenta

De acordo com o anúncio, os pacotes de serviços de criptografia tinham as seguintes características:
  • Métodos poderosos de criptografia privados e dedicados para cada cliente.
  • Tecnologia avançada de injeção com cargas útil.NET/nativas.
  • Compatível com arquivos.NET e nativos.
  • Inicialização oculta e instalação persistente.
  • Esboço privado dedicado.
  • Suporte totalmente dedicado.
  • FUD longo.

Informações de fóruns de crimes cibernéticos

  • Anteriormente, o ator da ameaça era muito ativo em outro famoso fórum de crimes cibernéticos.
  • A credibilidade da postagem é garantida em um tópico publicado por outro agente de ameaças que foi comprador desses serviços.
  • O ator também mencionou ter mais de 50 clientes satisfeitos sem reclamações.

Informações de uma fonte confidencial

Uma fonte confidencial em contato com o agente da ameaça constatou que:
  • O agente da ameaça compartilhou uma amostra de vídeo demonstrando o fluxo de trabalho de um executável criptografado.
  • O vídeo demonstrou o ator monitorando o dispositivo de uma vítima via desktop remoto no modo ao vivo.
  • O arquivo executável crypter obteve 0 detecções em mais de 20 verificações de antivírus.

Atividade e classificação do ator de ameaças

Perfil do ator de ameaçasAtivo desde agosto de 2022ReputationHigh (sem reclamações ou preocupações contra o ator) Status atualActiveHistoryVisto anteriormente lidando com criptas para desvio do UAC de mineradores e exclusões do Windows Defender. Ponto de contato
  • Discórdia: BigStuart #1880
  • Telegrama: @bigstuart
Classificação B2 (B: Normalmente confiável; 2: Provavelmente verdadeira)

Impacto e mitigação

ImpactoMitigação
  • Os serviços de criptografia podem ser usados para ocultar ladrões, ratos e botnets como software legítimo que pode ser usado para lançar campanhas fraudulentas.
  • Infiltração na infraestrutura da organização.
  • Exfiltrando dados confidenciais e confidenciais.
  • Monitorando o dispositivo da vítima via desktop remoto no modo ao vivo.
  • Exigir um resgate ou vender os acessos/bancos de dados para obter benefícios monetários.
  • As ferramentas criptografadas usando esse serviço são indetectáveis e, portanto, podem manter a persistência no sistema por um longo tempo.
  • Baixe aplicativos ou software de portais/sites legítimos.
  • Procure atividades ou processos suspeitos no sistema.
  • Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

Indicadores de compromisso (IOCs)

Os seguintes IOCs foram coletados com base nos resultados do AntiScan [.] me e em informações de uma fonte confidencial. Hash82c0632b2b5e5c4ae40edba657ad5250

Referências

Apêndice

[caption id="attachment_21257" align="alignnone” width="1757"]A threat actor vouching for the services Um agente de ameaças atestando os serviços [/caption] [caption id="attachment_21258" align="alignnone” width="292"]Threat actor’s testimonial about the satisfied customers Depoimento do agente de ameaças sobre os clientes satisfeitos [/caption] [caption id="attachment_21259" align="aligncenter” width="1920"] Workflow demonstrated in the video shared with a sensitive source Fluxo de trabalho demonstrado no vídeo compartilhado com uma fonte confidencial [/caption] [caption id="attachment_21260" align="aligncenter” width="580"]The exe file getting 0 flags by antiviruses O arquivo exe recebendo 0 sinalizadores por antivírus [/caption] [caption id="attachment_21261" align="aligncenter” width="1330"]Live monitoring of victim’s system via remote desktop as depicted in the video shared with a sensitive source Monitoramento ao vivo do sistema da vítima via desktop remoto, conforme mostrado no vídeo compartilhado com uma fonte confidencial [/caption]

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations