在过去四年中,一家意大利公司经营着一家看似合法的网站和业务,提出为Windows应用程序提供针对反向工程的二进制保护,但却秘密做广告,并向恶意软件团伙提供服务。
在Check Point的安全研究人员开始关注GuLoader[1,2,3]后,该公司的秘密业务被曝光。GuLoader[1,2,3]是一种新的恶意软件菌株,后来成为2020年最活跃的恶意软件操作之一。
Check Point表示,它在GuLoader代码中发现了提及CloudEyE Protector的引用,CloudEyE Protector是一家名为CloudEyE的意大利公司提供的反逆向工程软件服务。
但是,尽管源代码保护服务是合法的,并被广泛使用,几乎所有的商业/合法应用程序都使用了源代码保护服务,但Check Point表示,它将该公司及其所有者与多年前黑客论坛上的活动联系起来。
这家网络安全公司将securitycode.eu网站上广告的CloudEyE二进制保护服务与推广名为DarkEyE的恶意软件加密服务的广告联系起来,该服务早在2014年就在黑客论坛上大量投放广告。
此外,Check Point还将三个用于宣传DarkEyE的用户名和电子邮件与CloudEyE创始人之一的真实身份联系起来,显示在CloudEyE网站上。
此外,Check Point表示,它还追踪了这三个电子邮件地址和用户名,找到了黑客论坛上的多个帖子。
这些帖子甚至在DarkEyE(CloudEyE的前身)之前就打出了恶意软件/二进制加密服务的广告,最早可以追溯到2011年,显示出该用户在网络犯罪和恶意软件社区中是多么根深蒂固和人脉深厚。
这些关系显然帮助该组织启动了他们的合法业务。Check Point表示,CloudEyE团队吹嘘他们的网站上有5000多名客户。
Check Point表示,根据他们每月100美元的最低费率,该组织至少从他们的服务中赚取了50万美元。然而,如果我们考虑到一些月度套餐可能高达750美元/月,而且一些客户很可能会使用这项服务数月,金额可能会高得多。
所有线索都表明,这两家CloudEyE运营商试图将其犯罪操作合法化,将其隐藏在一家幌子公司后面,以此来证明自己的利润是合理的,并避免在套现巨额利润时引起当地税务机关的怀疑。
Check Point表示,CloudEyE的操作可能看起来是合法的,但在过去一年里,CloudEyE提供的服务一直是数千起攻击的共同点。
不过,尽管Check Point表示,DarkEyE和CloudEyE工具在过去几年里被广泛使用,但有一个恶意软件操作似乎是CloudEye的主要客户,那就是它的GuLoader。
在本周发布的一份报告中,Check Point列出了CloudEyE和GuLoader之间的不同连接。
最明显的是,通过CloudEyE保护应用程序的应用程序代码包含与在野外发现的GuLoader恶意软件样本相似的模式。这种联系是如此强烈,以至于任何通过CloudEyE应用程序的随机应用程序几乎肯定会被检测为GuLoader恶意软件样本,尽管是合法应用程序。
其次,Check Point表示CloudEyE接口包含一个占位符(默认)URL,它经常在GuLoader示例中找到该URL。
第三,CloudEyE的许多特性似乎都是专门为支持GuLoader操作而设计的。
Check Point说,CloudEyE网站上发布的教程展示了如何在Google Drive和OneDrive等云驱动器上存储有效负载。
云驱动器通常执行防病毒检查,从技术上讲不允许上传恶意软件。然而,在CloudEyE中实现的有效负载加密有助于绕过这一限制。
这样的功能对于一个普通的应用程序来说毫无意义。然而,避免云扫描对于恶意软件操作至关重要,尤其是对于GuLoader(归类为网络下载器)这样的软件,它依赖于感染受害者的计算机,然后从Google Drive或Microsoft OneDrive等服务下载第二阶段的有效负载。
继Check Point周一发布谴责报告后,CloudEyE在周三对调查结果做出了回应。
这家意大利公司谴责了这份报告,并将该工具用于恶意软件操作归咎于用户在其不知情的情况下犯下的滥用行为。
然而,网络安全界的成员对该公司的声明不屑一顾,称其为糟糕的谎言,并呼吁意大利当局调查该公司及其两名创始人。
根据Check Point的报告,这两人面临着被指控协助和教唆犯罪活动和洗钱的风险。
所以,在CloudEyE(=GuLoader)上了新闻之后,他们就这么做了。很多卑鄙的谎言..。希望意大利当局不是十足的白痴,他们会吃这个。cc@JAMESWT_MHT pic.twitter.com/2dT9O0fqAi。
-MalwareHunterTeam(@malwrhunterteam)2020年6月11日