Una operación multinacional de aplicación de la ley ha resultado en el derribo de un sindicato de delito cibernético en crencha que ofreció servicios a los actores de amenaza para avalar que su software malvado no se detectara en el software de seguridad.
En ese sentido, el Área de Razón de los Estados Unidos (DOJ) dijo que incautó cuatro dominios y su servidor asociado facilitó el servicio de cripting el 27 de mayo de 2025, en asociación con las autoridades holandesas y finlandesas. Estos incluyen AvCheck (.) Net, Cryptor (.) Biz y Crypt (.) Guru, todo lo cual ahora muestra un aviso de incautación.
Otros países que participaron en el esfuerzo incluyen Francia, Alemania, Dinamarca, Portugal y Ucrania.
“La cripta es el proceso de usar software para dificultar el malware para los programas antivirus”, dijo el Área de Razón. “Los dominios incautados ofrecían servicios a los ciberdelincuentes, incluidas las herramientas contra el antivirus (CAV). Cuando se usan juntos, los servicios de Cav y cripting permiten a los delincuentes ofusar malware, lo que lo hace indetectable y permitiendo el comunicación no acreditado a los sistemas informáticos”.
El Área de Razón dijo que las autoridades hicieron compras encubiertas para analizar los servicios y confirmaron que se estaban utilizando para el delito cibernético. En un anuncio coordinado, los funcionarios holandeses caracterizaron a Avcheck como uno de los mayores servicios de CAV utilizados por malos actores de todo el mundo.
Según las instantáneas capturadas por el Archivo de Internet, AvCheck (.) Net se anunció como un “verificador de escánimo antivirus de reincorporación velocidad”, ofreciendo la capacidad de los usuarios registrados para escanear sus archivos contra 26 motores antivirus, así como dominios y direcciones IP con 22 motores antivirus y listas de blocks.
Las convulsiones de dominio se realizaron como parte de la Operación Endgame, un esfuerzo completo en curso enérgico en 2024 para desmantelar el delito cibernético. Marca la cuarta acto importante en las últimas semanas luego de la interrupción de Lumma Stealer, Danabot, y cientos de dominios y servidores utilizados por varias familias de malware para entregar ransomware.
“Los cibercriminales no solo crean malware; lo perfeccionan para la máxima destrucción”, dijo el agente particular del FBI Houston a cargo Douglas Williams. “Al utilizar los servicios de contra-antivirus, los actores maliciosos refinan sus armas contra los sistemas de seguridad más difíciles del mundo para acontecer mejor los firewalls, escamotear el investigación forense y causar estragos en los sistemas de las víctimas”.
El expansión se produce cuando Esentire PurecryPter detallado, una opción de malware como servicio (MAAS) que se está utilizando para distribuir robadores de información como Lumma y Rhadamanthys utilizando el Vector de comunicación auténtico de ClickFix.
Comercializado en Hackforums (.) Net por un actor de amenaza llamado Purecoder por $ 159 por tres meses, $ 399 por un año, o $ 799 para el comunicación de por vida, el Crypter se distribuye utilizando un canal de telegrama automatizado, @ThePureBot, que todavía sirve como un mercado para otras ofertas, incluidas Purerat y Purelogs.
Al igual que otros proveedores de tales herramientas, Purecoder requiere que los usuarios reconozcan un acuerdo de Términos de Servicio (TOS) que afirma que el software está destinado solo a fines educativos y que cualquier violación resultaría en una revocación inmediata de su comunicación y esencia en serie.
El malware todavía incorpora la capacidad de parchear la API NTManageHotPatch en la memoria en las máquinas de Windows que se ejecutan 24H2 o más nueva para retornar a habilitar la inyección de código basada en el hueco. Los hallazgos demuestran cómo los actores de amenaza se adaptan rápidamente e diseñan formas de derrotar a los nuevos mecanismos de seguridad.
“El malware emplea técnicas de diversión múltiple que incluyen bypass de AMSI, desacoplamiento DLL, detección anti-VM, medidas anti-fondos y capacidades recientemente agregadas para evitar las características de seguridad de Windows 11h2 a través del parcheo de la API NTManageHotPatch”, dijo la compañía de ciberseguridad canadiense.
“Los desarrolladores utilizan tácticas de marketing engañosas al promover el estado ‘totalmente sin detectado’ (FUD) basado en los resultados netos AVCHECK (.), Mientras que Virustotal muestra la detección por múltiples soluciones AV/EDR, revelando discrepancias significativas en las tasas de detección”.
