Empresa italiana expuesta como fachada de operaciones de malware


código de vulnerabilidad binario

Imagen: ZDNet

Durante los últimos cuatro años, una compañía italiana ha operado un sitio internet y un negocio aparentemente legítimo, ofreciendo ofrecer protección binaria contra la ingeniería inversa para aplicaciones de Windows, pero ha publicitado en secreto y prestado su servicio a pandillas de malware.

El negocio secreto de la compañía salió a la luz después de que los investigadores de seguridad de Look at Position comenzaron a mirar GuLoader (1, 2, 3), una nueva variedad de malware que se convirtió en una de las operaciones de malware más activas de 2020.

Aplicación CloudEyE vinculada al cripto de malware difunto DarkEyE

Verify Stage dice que encontró referencias en el código GuLoader que mencionan CloudEyE Protector, un servicio de software program anti-ingeniería inversa proporcionado por una compañía italiana llamada CloudEyE.

Pero aunque los servicios de protección del código fuente son legales y ampliamente utilizados, casi por todas las aplicaciones comerciales / legítimas, Check Place dijo que vinculó a esta compañía y sus propietarios a la actividad en los foros de piratería que datan de años atrás.

La empresa de ciberseguridad conectó el servicio de protección binaria CloudEyE anunciado en el sitio world-wide-web securitycode.eu a anuncios que promocionaban un servicio de cifrado de malware llamado DarkEyE, muy publicitado en foros de piratería desde 2014.

Además, Check Stage también vinculó tres nombres de usuario y correos electrónicos utilizados para promover DarkEyE a la identidad del mundo authentic de uno de los fundadores de CloudEyE, como se muestra en el sitio web de CloudEyE.

cloudeye-identities.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/12/ea931850-10f2-4bb6-8763-1585497a7782/cloudeye-identities.png

Imagen: Punto de manage

Además, Check out Position dice que también rastreó estas tres direcciones de correo electrónico y nombres de usuario en múltiples publicaciones en foros de piratería.

Las publicaciones anunciaban servicios de cifrado de malware / binarios incluso antes de DarkEyE (precursor de CloudEyE), y se remontaban a 2011, lo que demuestra cuán arraigado y bien conectado estaba este usuario en la comunidad de cibercrimen y malware.

CloudEyE ganó al menos $ 500,000

Estas conexiones aparentemente ayudaron al grupo a despegar sus negocios legítimos. Verify Issue dice que el equipo de CloudEyE se jactó de tener más de 5,000 clientes en su sitio world wide web.

Basado en su tasa mínima de $ 100 / mes, Examine Point dice que el grupo ganó al menos $ 500,000 de su servicio. Sin embargo, la suma podría ser mucho mayor si tenemos en cuenta que algunos planes mensuales pueden llegar a $ 750 / mes, y algunos clientes probablemente usaron el servicio varios meses.

cloudeye-site.png "height =" auto "width =" 470 "src =" https://zdnet1.cbsistatic.com/hub/i/r/2020/06/12/e0675998-1c5b-4667-8407-f7039bb4b7d0 /resize/470xauto/e219953e7df14066e2772cf9403c8d01/cloudeye-site.png

Imagen: ZDNet

Todas las pistas apuntan al hecho de que los dos operadores de CloudEyE intentaron legitimar su operación legal ocultándola detrás de una empresa de fachada como una forma de justificar sus ganancias y evitar levantar las sospechas de las autoridades fiscales locales al cobrar sus enormes ganancias.

«Las operaciones de CloudEyE pueden parecer legales, pero el servicio proporcionado por CloudEyE ha sido un denominador común en miles de ataques durante el año pasado», dijo Test Stage.

GuLoader fue el principal cliente

Pero aunque Examine Point dice que las herramientas DarkEyE y CloudEyE se utilizaron ampliamente en los últimos años, hay una operación de malware que parece ser el principal cliente de CloudEye, y esa es GuLoader.

en un informe publicado esta semana, Look at Position establece las diferentes conexiones entre CloudEyE y GuLoader.

Lo más obvio es que el código de aplicaciones pasado a través de la aplicación CloudEyE Secure contenía patrones similares con muestras de malware GuLoader detectadas en la naturaleza. Esta conexión period tan fuerte que cualquier aplicación aleatoria que pasara a través de la aplicación CloudEyE seguramente sería detectada como una muestra de malware GuLoader, a pesar de ser una aplicación legítima.

cloudeye-samples.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/12/f635e565-7330-49f7-a767-61ff0825233d/cloudeye-samples.png

Imagen: Punto de handle

En segundo lugar, Test Stage dice que la interfaz CloudEyE contenía una URL de marcador de posición (predeterminada) que a menudo se encontraba en las muestras de GuLoader.

cloudeye.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/12/4c7a53c7-f452-4cfd-94e9-eba8dc426678/cloudeye.png

Imagen: Punto de control

En tercer lugar, muchas de las características de CloudEyE parecen haber sido diseñadas específicamente para admitir las operaciones de GuLoader.

«Los tutoriales publicados en el sitio internet de CloudEyE muestran cómo almacenar cargas útiles en unidades en la nube como Google Generate y OneDrive», dijo Check out Stage.

«Las unidades en la nube generalmente realizan comprobaciones de antivirus y técnicamente no permiten la carga de malware. Sin embargo, el cifrado de la carga útil implementado en CloudEyE ayuda a evitar esta limitación».

Tal característica no tiene sentido para una aplicación standard. Sin embargo, evitar escaneos en la nube es crucial para una operación de malware, y especialmente para algo como GuLoader, categorizado como un «descargador de pink», que se basa en infectar una computadora víctima y luego descargar una carga útil de la segunda etapa de servicios como Google Generate o Microsoft OneDrive.

CloudEyE se cierra después del informe

Tras el informe condenatorio de Examine Position el lunes, CloudEyE respondió a los hallazgos el miércoles.

La compañía italiana denunció el informe y culpó del uso de la herramienta para operaciones de malware a los abusos perpetrados por sus usuarios, sin su conocimiento.

Sin embargo, miembros de la comunidad de ciberseguridad desestimaron la declaración de la compañía como «mentiras pobres» y pidieron a las autoridades italianas que investiguen a la compañía y a sus dos fundadores.

Según el informe de Examine Point, los dos corren el riesgo de ser investigados bajo los cargos de ayudar e incitar a una operación prison y lavado de dinero.



Enlace a la noticia authentic