Эксперты Positive Technologies провели детальное исследование криптора Crypters And Tools, который активно используется несколькими известными хакерскими группировками, включая PhaseShifters, TA558 и Blind Eagle. Данный инструмент представляет собой сервис по подписке (crypter-as-a-service, CaaS), предназначенный для маскировки вредоносного программного обеспечения.
История и происхождение Crypters And Tools
Криптор функционирует как минимум с лета 2022 года, периодически меняя названия. Проведенный анализ указывает на бразильское происхождение разработчика инструмента, что подтверждается несколькими факторами: фрагментами кода на португальском языке, IP-адресами в обучающих видео и документацией, связанной с бразильской налоговой системой (CPF) и местной валютой (BRL).
Технические особенности и функционал
Crypters And Tools представляет собой приложение, написанное на языке C# с использованием дополнительных библиотек и защищенное упаковщиком Themida. Основной функционал включает шифрование, упаковку и обфускацию вредоносных файлов, что существенно затрудняет их обнаружение антивирусными решениями.
Масштабы использования и география атак
По данным исследования, с момента запуска сервиса было создано около 3000 вредоносных файлов. При этом количество активных пользователей остается относительно небольшим — всего 24 человека по состоянию на январь 2025 года. География атак охватывает преимущественно страны Восточной Европы, Латинской Америки, США и Россию.
Механизм работы и особенности использования
Для использования сервиса злоумышленники должны приобрести подписку и получить доступ к панели управления. Процесс создания вредоносного ПО включает настройку различных параметров: тип загрузчика, метод персистентности, степень обфускации кода и выбор легитимного процесса для маскировки активности.
Эксперты отмечают, что появление подобных инструментов отражает общую тенденцию развития рынка киберпреступности. Доступность и простота использования таких сервисов значительно снижает входной порог для проведения кибератак, что представляет серьезную угрозу для информационной безопасности организаций по всему миру. Для защиты от подобных угроз критически важно применять комплексный подход к кибербезопасности, включающий регулярное обновление систем защиты и проведение security-аудитов.
