意大利公司 CloudEyE 通过将其二进制加密器出售给恶意软件团伙而获得了超过 500,000 美元的收入.
过去的四年中, 这家意大利公司在经营着一个看似合法的网站和业务: 提供针对 Windows 应用程序的逆向二进制保护, 但其实是在秘密地为恶意软件团伙做广告并为其提供服务.
于是在 Check Point 的安全研究人员开始研究恶意软件 GuLoader 的运营模式之后, 该公司的秘密业务被曝光, 并且上升为 2020 年最活跃的恶意操作软件之一.
Check Point 表示, 在 GuLoader 的代码中发现了 CloudEyE Protector 提到的反逆向工程软件服务, 尽管源代码保护服务是 合法且 被大家广泛使用的 (几乎所有商业 / 合法应用程序都会使用这些服务), 但这家公司及其所有者与黑客论坛上的活动联系紧密. 例如: 在 securitycode.eu 网站上发布的 CloudEyE 二进制保护服务与宣传名为 DarkEyE 的恶意软件加密服务广告相连接, 早在 2014 年该加密服务广告曾在黑客论坛上大量发布.
Check Point 还将三个用于推广 DarkEyE 的用户名和电子邮件与 CloudEyE 创始人之一的真实身份联系在一起, Check Point 跟踪了这三个电子邮件地址和用户名, 发现该用户名曾在黑客论坛上发布了多个帖子.
这些帖子甚至在 DarkEyE(CloudEyE 的前身) 诞生之前就发布了恶意软件 / 二进制加密服务的广告, 最早可以追溯到 2011 年, 看来该用户在网络犯罪和恶意软件社区中的地位和影响力都很深.
Check Point 表示 CloudEyE 团队吹嘘其网站上有 5,000 多个客户:" 根据我们每月 100 美元的最低工资标准, 我们的服务收入至少为 50 万美元. 但是, 考虑到我们某些时候可能会高达 750 美元 / 月, 而一些客户很可能会在几个月内就使用这项服务, 那么这个数字总和可能会高得多.
所有线索都表明, 这两家 CloudEyE 运营商试图通过将其犯罪行为合法化, 来 以此 证明自己的利润, 并避免在兑现其巨额利润时引起当地税务机关的怀疑.
Check Point 表示, 在过去几年中, darkye 和 CloudEyE 的工具被广泛使用, 而 CloudEyE 的主要客户, 就是 GuLoader.
在本周发布的一份报告中, Check Point 列出了 CloudEyE 和 GuLoader 之间的联系.
最明显的是, 通过 CloudEyE Protect 应用程序传递的程序代码包含与野外发现的 GuLoader 恶意软件样本相似的模式. 这种连接非常强大, 任何通过 CloudEyE 应用程序的随机程序几乎都会被检测为恶意软件, 尽管它可能是合法的应用程序.
其次, Check Point 表示 CloudEyE 界面包含一个占位符 (默认)URL, 它通常可在 GuLoader 示例中找到.
第三, 许多 CloudEyE 功能似乎是专门设计来支持 GuLoader 操作的.
Check Point 说:"CloudEyE 网站上发布的教程展示了如何在 Google Drive 和 OneDrive 等云硬盘上存储有效负载." 云驱动器通常会执行防病毒检查, 且从技术上讲是不允许上传恶意软件的, 但是 CloudEyE 中的有效负载加密可以帮助绕过此限制."对于普通应用程序来说, 这种功能毫无意义. 然而避免进行云扫描对于恶意软件操作至关重要, 尤其是对于像 GuLoader 这样被归为" 网络下载程序 " 的.
继 Check Point 周一发布了报告之后, CloudEyE 在周三对此调查结果做出了回应.
这家意大利公司谴责了该报告, 并将该工具用于恶意软件操作的原因归咎于是用户在不知情的情况下实施的行为.
不过, 网络安全界人士认为该公司的声明是 "拙劣的谎言", 并呼吁意大利当局调查该公司及其两名创始人.
参考链接
来源: http://www.tuicool.com/articles/vy6RriB