信息來源:cnbeta
意大利公司CloudEyE通過將其二進(jìn)制加密器出售給惡意軟件團(tuán)伙而獲得了超過500,000美元的收入。
過去的四年中,這家意大利公司在經(jīng)營著一個看似合法的網(wǎng)站和業(yè)務(wù):提供針對Windows應(yīng)用程序的逆向二進(jìn)制保護(hù),但其實是在秘密地為惡意軟件團(tuán)伙做廣告并為其提供服務(wù)。
于是在Check Point的安全研究人員開始研究惡意軟件GuLoader的運營模式之后,該公司的秘密業(yè)務(wù)被曝光,并且上升為2020年最活躍的惡意操作軟件之一。
Check Point表示,在GuLoader的代碼中發(fā)現(xiàn)了CloudEyE Protector提到的反逆向工程軟件服務(wù),盡管源代碼保護(hù)服務(wù)是合法且被大家廣泛使用的(幾乎所有商業(yè)/合法應(yīng)用程序都會使用這些服務(wù)),但這家公司及其所有者與黑客論壇上的活動聯(lián)系緊密。例如:在securitycode.eu網(wǎng)站上發(fā)布的CloudEyE二進(jìn)制保護(hù)服務(wù)與宣傳名為DarkEyE的惡意軟件加密服務(wù)廣告相連接,早在2014年該加密服務(wù)廣告曾在黑客論壇上大量發(fā)布。
Check Point還將三個用于推廣DarkEyE的用戶名和電子郵件與CloudEyE創(chuàng)始人之一的真實身份聯(lián)系在一起,Check Point跟蹤了這三個電子郵件地址和用戶名,發(fā)現(xiàn)該用戶名曾在黑客論壇上發(fā)布了多個帖子。
這些帖子甚至在DarkEyE(CloudEyE的前身)誕生之前就發(fā)布了惡意軟件/二進(jìn)制加密服務(wù)的廣告,最早可以追溯到2011年,看來該用戶在網(wǎng)絡(luò)犯罪和惡意軟件社區(qū)中的地位和影響力都很深。
Check Point表示CloudEyE團(tuán)隊吹噓其網(wǎng)站上有5,000多個客戶:“根據(jù)我們每月100美元的最低工資標(biāo)準(zhǔn),我們的服務(wù)收入至少為50萬美元。但是,考慮到我們某些時候可能會高達(dá)750美元/月,而一些客戶很可能會在幾個月內(nèi)就使用這項服務(wù),那么這個數(shù)字總和可能會高得多。
所有線索都表明,這兩家CloudEyE運營商試圖通過將其犯罪行為合法化,來以此證明自己的利潤,并避免在兌現(xiàn)其巨額利潤時引起當(dāng)?shù)囟悇?wù)機(jī)關(guān)的懷疑。
Check Point表示,在過去幾年中,darkye和CloudEyE的工具被廣泛使用,而CloudEyE的主要客戶,就是GuLoader。
在本周發(fā)布的一份報告中,Check Point列出了CloudEyE和GuLoader之間的聯(lián)系。
最明顯的是,通過CloudEyE Protect應(yīng)用程序傳遞的程序代碼包含與野外發(fā)現(xiàn)的GuLoader惡意軟件樣本相似的模式。這種連接非常強(qiáng)大,任何通過CloudEyE應(yīng)用程序的隨機(jī)程序幾乎都會被檢測為惡意軟件,盡管它可能是合法的應(yīng)用程序。
其次,Check Point表示CloudEyE界面包含一個占位符(默認(rèn))URL,它通??稍贕uLoader示例中找到。
第三,許多CloudEyE功能似乎是專門設(shè)計來支持GuLoader操作的。
Check Point說:“CloudEyE網(wǎng)站上發(fā)布的教程展示了如何在Google Drive和OneDrive等云硬盤上存儲有效負(fù)載。
“云驅(qū)動器通常會執(zhí)行防病毒檢查,且從技術(shù)上講是不允許上傳惡意軟件的,但是CloudEyE中的有效負(fù)載加密可以幫助繞過此限制?!?
對于普通應(yīng)用程序來說,這種功能毫無意義。然而避免進(jìn)行云掃描對于惡意軟件操作至關(guān)重要,尤其是對于像GuLoader這樣被歸為“網(wǎng)絡(luò)下載程序”的。
繼Check Point周一發(fā)布了報告之后,CloudEyE在周三對此調(diào)查結(jié)果做出了回應(yīng)。
這家意大利公司譴責(zé)了該報告,并將該工具用于惡意軟件操作的原因歸咎于是用戶在不知情的情況下實施的行為。
不過,網(wǎng)絡(luò)安全界人士認(rèn)為該公司的聲明是“拙劣的謊言”,并呼吁意大利當(dāng)局調(diào)查該公司及其兩名創(chuàng)始人。