意大利公司CloudEyE通过将其二进制加密器出售给恶意软件团伙而获得了超过500,000美元的收入。
过去的四年中,这家意大利公司在经营着一个看似合法的网站和业务:提供针对Windows应用程序的逆向二进制保护,但其实是在秘密地为恶意软件团伙做广告并为其提供服务。
于是在Check Point的安全研究人员开始研究恶意软件GuLoader的运营模式之后,该公司的秘密业务被曝光,并且上升为2020年最活跃的恶意操作软件之一。
Check Point表示,在GuLoader的代码中发现了CloudEyE Protector提到的反逆向工程软件服务,尽管源代码保护服务是合法且被大家广泛使用的(几乎所有商业/合法应用程序都会使用这些服务),但这家公司及其所有者与黑客论坛上的活动联系紧密。例如:在securitycode.eu网站上发布的CloudEyE二进制保护服务与宣传名为DarkEyE的恶意软件加密服务广告相连接,早在2014年该加密服务广告曾在黑客论坛上大量发布。
Check Point还将三个用于推广DarkEyE的用户名和电子邮件与CloudEyE创始人之一的真实身份联系在一起,Check Point跟踪了这三个电子邮件地址和用户名,发现该用户名曾在黑客论坛上发布了多个帖子。
这些帖子甚至在DarkEyE(CloudEyE的前身)诞生之前就发布了恶意软件/二进制加密服务的广告,最早可以追溯到2011年,看来该用户在网络犯罪和恶意软件社区中的地位和影响力都很深。
Check Point表示CloudEyE团队吹嘘其网站上有5,000多个客户:“根据我们每月100美元的最低工资标准,我们的服务收入至少为50万美元。但是,考虑到我们某些时候可能会高达750美元/月,而一些客户很可能会在几个月内就使用这项服务,那么这个数字总和可能会高得多。
所有线索都表明,这两家CloudEyE运营商试图通过将其犯罪行为合法化,来以此证明自己的利润,并避免在兑现其巨额利润时引起当地税务机关的怀疑。
Check Point表示,在过去几年中,darkye和CloudEyE的工具被广泛使用,而CloudEyE的主要客户,就是GuLoader。
在本周发布的一份报告中,Check Point列出了CloudEyE和GuLoader之间的联系。
最明显的是,通过CloudEyE Protect应用程序传递的程序代码包含与野外发现的GuLoader恶意软件样本相似的模式。这种连接非常强大,任何通过CloudEyE应用程序的随机程序几乎都会被检测为恶意软件,尽管它可能是合法的应用程序。
其次,Check Point表示CloudEyE界面包含一个占位符(默认)URL,它通常可在GuLoader示例中找到。
第三,许多CloudEyE功能似乎是专门设计来支持GuLoader操作的。
Check Point说:“CloudEyE网站上发布的教程展示了如何在Google Drive和OneDrive等云硬盘上存储有效负载。
“云驱动器通常会执行防病毒检查,且从技术上讲是不允许上传恶意软件的,但是CloudEyE中的有效负载加密可以帮助绕过此限制。”
对于普通应用程序来说,这种功能毫无意义。然而避免进行云扫描对于恶意软件操作至关重要,尤其是对于像GuLoader这样被归为“网络下载程序”的。
继Check Point周一发布了报告之后,CloudEyE在周三对此调查结果做出了回应。
这家意大利公司谴责了该报告,并将该工具用于恶意软件操作的原因归咎于是用户在不知情的情况下实施的行为。
不过,网络安全界人士认为该公司的声明是“拙劣的谎言”,并呼吁意大利当局调查该公司及其两名创始人。