12 Giugno 2020 - Tempo di lettura: 14 minuti
Si ritiene che la società italiana CloudEyE abbia guadagnato oltre $ 500.000 dalla vendita del suo criptatore binario a gruppi di malware.
Negli ultimi quattro anni, una società italiana ha gestito un sito Web e un'attività commerciali apparentemente legittimi, offrendo una protezione binaria contro il reverse engineering per le applicazioni Windows, ma ha diffuso pubblicamente e fornito il proprio servizio a gruppi di malware.
L'attività segreta della società è venuta alla luce dopo che i ricercatori della sicurezza di Check Point hanno iniziato a esaminare GuLoader [ 1 , 2 , 3 ], una nuova varietà di malware che è diventata una delle operazioni malware più attive del 2020.
Check Point afferma di aver trovato riferimenti nel codice GuLoader che menzionano CloudEyE Protector, un servizio software anti-reverse engineering fornito da una società italiana denominata CloudEyE.
Ma mentre i servizi di protezione del codice sorgente sono legali e ampiamente utilizzati, quasi da tutte le app commerciali / legittime, Check Point ha affermato di aver collegato questa azienda e i suoi proprietari alle attività sui forum di hacking di anni fa.
La società di sicurezza informatica ha collegato il servizio di protezione binaria CloudEyE pubblicizzato sul sito Web securitycode.eu agli annunci che promuovono un servizio di crittografia del malware chiamato DarkEyE, ampiamente pubblicizzato su forum di hacking già nel 2014.
Inoltre, Check Point ha anche collegato tre nomi utente ed e-mail utilizzati per promuovere DarkEyE all'identità del mondo reale di uno dei fondatori di CloudEyE, come mostrato sul sito Web CloudEyE.
Inoltre, Check Point afferma di aver tracciato anche questi tre indirizzi e-mail e nomi utente su più post nei forum di hacking.
I post pubblicizzavano servizi di criptaggio di malware / binari anche prima di DarkEyE (il precursore di CloudEyE) e risalivano al 2011, dimostrando quanto questo utente fosse radicato e ben collegato nella comunità del crimine informatico e del malware.
Queste connessioni apparentemente hanno aiutato il gruppo a far decollare i propri affari legittimi. Check Point afferma che il team CloudEyE si è vantato di avere più di 5.000 clienti sul proprio sito Web.
Sulla base della loro tariffa minima di $ 100 al mese, Check Point afferma che il gruppo ha guadagnato almeno $ 500.000 dal loro servizio. Tuttavia, la somma potrebbe essere molto più elevata se si tiene conto del fatto che alcuni piani mensili possono arrivare a $ 750 al mese e alcuni clienti molto probabilmente hanno utilizzato il servizio più mesi.
Tutti gli indizi indicano che i due operatori CloudEyE hanno tentato di legittimare la loro operazione criminale nascondendola dietro una società di copertura come un modo per giustificare i loro profitti ed evitare di sollevare i sospetti delle autorità fiscali locali quando incassano i loro enormi profitti.
"Le operazioni di CloudEyE possono sembrare legali, ma il servizio fornito da CloudEyE è stato un denominatore comune in migliaia di attacchi nell'ultimo anno", ha affermato Check Point.
Ma mentre Check Point afferma che gli strumenti DarkEyE e CloudEyE sono stati ampiamente utilizzati negli ultimi anni, esiste un'operazione malware che sembra essere il cliente principale di CloudEye, e questo è GuLoader.
In un rapporto pubblicato questa settimana, Check Point delinea le diverse connessioni tra CloudEyE e GuLoader.
Il più ovvio è che il codice delle app passate attraverso l'app CloudEyE Protect conteneva schemi simili con campioni di malware GuLoader rilevati in natura. Questa connessione era così forte che qualsiasi app casuale passata attraverso l'app CloudEyE sarebbe stata quasi certamente rilevata come un esempio di malware GuLoader, nonostante fosse un'app legittima.
In secondo luogo, Check Point afferma che l'interfaccia CloudEyE conteneva un URL segnaposto (predefinito) che trovava spesso negli esempi di GuLoader.
In terzo luogo, molte delle funzionalità di CloudEyE sembrano essere state appositamente progettate per supportare le operazioni di GuLoader.
"I tutorial pubblicati sul sito Web CloudEyE mostrano come archiviare i payload su unità cloud come Google Drive e OneDrive", ha affermato Check Point.
"Le unità cloud di solito eseguono il controllo antivirus e tecnicamente non consentono il caricamento di malware. Tuttavia, la crittografia del payload implementata in CloudEyE aiuta a bypassare questa limitazione."
Tale funzionalità non ha senso per un'app normale. Tuttavia, evitare le scansioni del cloud è cruciale per un'operazione di malware, e in particolare per qualcosa come GuLoader - classificato come "downloader di rete" che si basa sull'infezione di un computer vittima e sul download di un payload di secondo livello da servizi come Google Drive o Microsoft OneDrive.
Dopo il dannoso rapporto di Check Point lunedì, CloudEyE ha risposto ai risultati mercoledì.
La società italiana ha denunciato il rapporto e incolpato l'uso dello strumento per operazioni di malware sugli abusi perpetrati dai suoi utenti, a sua insaputa.
Tuttavia, i membri della comunità della cybersicurezza hanno respinto la dichiarazione della società come "semplici menzogne" e hanno invitato le autorità italiane a indagare sulla società e sui suoi due fondatori.
Sulla base del rapporto di Check Point, i due sono a rischio di essere indagati con l'accusa di favorire un'operazione criminale e il riciclaggio di denaro.