Un’operazione multinazionale delle forze dell’ordine ha comportato la rimozione di un sindacato di criminalità informatica on-line che offriva servizi agli attori minacciano per garantire che il loro software program dannoso non fosse rilevato dal software program di sicurezza.
A tal effective, il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha affermato di aver sequestrato quattro domini e il loro server associato ha facilitato il servizio di cypting il 27 maggio 2025, in collaborazione con autorità olandesi e finlandesi. Questi includono Avcheck (.) Web, Cryptor (.) Biz e Crypt (.) Guru, che ora mostrano un avviso di attacco.
Altri paesi che hanno partecipato allo sforzo includono Francia, Germania, Danimarca, Portogallo e Ucraina.
“Il cypting è il processo di utilizzo del software program per rendere difficile il malware per i programmi antivirus”, il DOJ disse. “I domini sequestrati offrivano servizi ai criminali informatici, compresi gli strumenti di Counter-Antivirus (CAV). Se usati insieme, i servizi CAV e il cypting consentono ai criminali di offuscare malware, rendendolo non rilevabile e consentendo un accesso non autorizzato ai sistemi informatici.”
Il DOJ ha affermato che le autorità hanno effettuato acquisti sotto copertura per analizzare i servizi e hanno confermato che venivano utilizzati per il crimine informatico. In un annuncio coordinato, funzionari olandesi caratterizzato Avcheck come uno dei più grandi servizi CAV utilizzati dai cattivi attori di tutto il mondo.
Secondo istantanee Catturato dall’archivio Web, Avcheck (.) Web si è fatturato come un “controllo scantore antivirus advert alta velocità, offrendo la possibilità per gli utenti registrati di scansionare i loro file contro 26 motori antivirus, nonché domini e indirizzi IP con 22 motori antivirus e blocklist.
Le convulsioni di dominio sono state condotte come parte dell’Operazione Endgame, uno sforzo globale in corso lanciato nel 2024 per smantellare il crimine informatico. Segna la quarta azione importante nelle ultime settimane dopo l’interruzione di Lumma Stealer, DanabotE centinaia di domini e server Utilizzato da varie famiglie di malware per fornire ransomware.
“I criminali informatici non creano solo malware; lo perfezionano per la massima distruzione”, ha dichiarato Douglas Williams, agente speciale dell’FBI Houston. “Sfruttando i servizi di contro-antivirus, gli attori dannosi perfezionano le loro armi contro i sistemi di sicurezza più difficili del mondo per suonare meglio i firewall, sfuggire all’analisi forense e provocare il caos tra i sistemi delle vittime.”
Lo sviluppo è dettagliato da Esentire PureCrypteruna soluzione malware-as-a-service (MAAS) che viene utilizzata per distribuire furti di informazioni come Lumma e Rhadamanthys utilizzando il vettore di accesso iniziale di ClickFix.
Commercializzato su HackForums (.) Web da un attore di minaccia chiamato PureCoder per $ 159 per tre mesi, $ 399 per un anno o $ 799 per l’accesso a vita, il Crypter è distribuito utilizzando un canale Telegram automatizzato, @ThePureBot, anche come mercato per altre offerte, incluso Purerat e Purelogs.
Come altri fornitori di tali strumenti, PureCoder richiede agli utenti di riconoscere un accordo sui termini di servizio (TOS) che afferma che il software program è inteso solo a fini educativi e che eventuali violazioni comporterebbe una revoca immediata del loro accesso e chiave seriale.
Il malware incorpora anche la capacità di riparare il API NTMANAGEHOTPATCH In memoria sulle macchine Home windows che eseguono 24h2 o più recenti per riaccendere l’iniezione di codice basata sullo svivo. I risultati dimostrano come gli attori delle minacce si adattano rapidamente e escogitano modi per sconfiggere nuovi meccanismi di sicurezza.
“Il malware impiega molteplici tecniche di evasione tra cui il bypass AMSI, l’annamione DLL, il rilevamento anti-VM, le misure anti-debotto e le funzionalità di sicurezza di Bypass Home windows 11 24h2 attraverso il patching API NTManageHotPatch” disse.
“Gli sviluppatori utilizzano tattiche di advertising ingannevoli promuovendo lo stato” pienamente non rilevato “(FUD) basato su risultati netti di Avcheck (.), Mentre virustotal mostra il rilevamento da più soluzioni AV/EDR, rivelando significative discrepanze nei tassi di rilevamento.”
