Анализ угроз

Исследователи Avast обнаружили OnionCrypter — важную часть множества вредоносных программ

Christopher Budd, 18 марта 2021

Мы защитили около 400,000 пользователей от вредоносных программ, работающих с помощью OnionCrypter. Рассказываем, что такое криптор и как он работает.

Устройство современного вредоносного ПО очень похоже на строение автомобиля: оно тоже состоит из множества деталей. Только вместо двигателя, колес и руля у таких программ есть загрузчик, полезная нагрузка и командный модуль.

Исследователи нашей Лаборатории анализа угроз изучили одну из «деталей» вредоносных программ, которая называется «криптор».

Это инструмент, который скрывает вредоносные части кода с помощью шифрования. Его цель — замаскировать код так, чтобы он казался безвредным и его было сложнее обработать.

Таким образом создатели вирусов пытаются скрыть истинное назначение программы от исследователей и антивирусных программ.

Для разработчиков вредоносных программ криптор — важный инструмент по противодействию защите. А для исследователей в области кибербезопасности, наоборот, обнаружение криптора позволяет быстрее находить и идентифицировать новое вредоносное ПО, которое его содержит.

Подробнее об OnionCrypter

Нами был обнаружен криптор, который мы назвали OnionCrypter. Как и лук, он состоит из множества слоев шифрования, маскирующих вредоносный код.

Именно благодаря своей «многослойности» OnionCrypter так необычен. Его название никак не связано с браузером или сетью Tor.

OnionCrypter-logos_final_edited_2OnionCrypter активно используется с 2016 года в самых известных и распространенных семействах вредоносных программ, таких как Ursnif, Lokibot, Zeus, AgentTesla и Smokeloader.

За последние три года Avast защитил около 400,000 пользователей по всему миру от вредоносных программ, которые содержали OnionCrypter. Диаграмма ниже показывает, какие семейства вредоносного ПО, использующие OnionCrypter, были обнаружены Avast.

onioncrypter

Учитывая достаточно долгое время использования и распространенность OnionCrypter, наши эксперты делают вывод, что разработчики продают его в качестве готовой услуги.

За последнее время рынок вредоносного ПО значительно вырос, и вполне объяснимо, почему некоторые люди и группы начали предлагать подобные готовые решения. Кроме того, развитость этого рынка свидетельствует о том, что создатели OnionCrypter предлагают покупателям настройку, чтобы сделать его еще менее заметным. В рекламных сообщениях на специализированных форумах OnionCrypter часто называют «совершенно незаметным».

Информация, предоставленная исследователями Avast, упростит задачу по обнаружению OnionCrypter и любого вредоносного ПО, которое его использует.

Возвращаясь к аналогии с автомобилем, можно сказать, что наши специалисты обнаружили важную деталь в двигателе множества вредоносных программ. Теперь ее проще обнаружить, если она окажется в неизвестном коде. 

Результаты работы команды Avast помогают не только клиентам компании – найденной информацией мы делимся с другими разработчиками защитных решений. Подробнее об устройстве и работе OnionCryper можно прочитать в блоге Avast Decoded.

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter