Los investigadores de seguridad descubrieron la muestra del crypter mientras investigaban ciberataques contra empresas rusas e instituciones gubernamentales perpetrados por el grupo PhaseShifters

El equipo de inteligencia de amenazas del Positive Technologies Expert Security Center (PT ESC) ha analizado el crypter denominado Crypters And Tools, que ha sido utilizado activamente por los grupos de ciberdelincuencia PhaseShifters, TA558, y Blind Eagle en sus ataques contra organizaciones de todo el mundo. Esta herramienta, utilizada por los hackers para disfrazar malware, se distribuye mediante suscripción (crypter como servicio, CaaS).

Positive Technologies detectó por primera vez Crypters And Tools durante una investigación sobre los ataques de PhaseShifters a organizaciones rusas en 2024. Los hackers usaron este servicio para crear droppers, programas especiales que entregan malware de forma encubierta en la computadora de la víctima. Los crypters pueden cifrar, empaquetar y ofuscar archivos maliciosos para disfrazarlos y dificultar su análisis.

El equipo de inteligencia de amenazas examinó algunas cuentas en redes sociales asociadas con el crypter y descubrió que Crypters And Tools ha estado operando bajo distintos nombres desde al menos el verano de 2022. Los expertos concluyeron que el desarrollador de esta herramienta maliciosa se encuentra probablemente en Brasil. Esta hipótesis se basa en fragmentos de código en portugués, videos instructivos del autor que muestran sus direcciones IP, correos electrónicos sobre retiros de reales brasileños de una plataforma de criptomonedas y la mención del CPF (identificación fiscal en Brasil).

«Con Crypters And Tools, los atacantes pueden llevar a cabo ataques con mayor facilidad al ocultar cargas útiles de Ande Loader en archivos de imagen. Una vez entregado, Ande Loader se inyecta en procesos legítimos de Windows», dice Klimentiy Galkin, Especialista en Inteligencia de Amenazas en el Positive Technologies Expert Security Center. «Esta tendencia forma parte de un panorama más amplio: el mercado del cibercrimen está creciendo y herramientas como esta se están volviendo más populares y accesibles».

La geografía de los ataques con Crypters And Tools abarca principalmente países de Europa del Este, América Latina, Rusia y Estados Unidos. Por ejemplo, el grupo Blind Eagle utilizó técnicas similares de ofuscación y malware en sus campañas de 2023-2024 dirigidas a instalaciones de manufactura en América del Norte. Desde 2022, cuando se fundó Crypters And Tools, Positive Technologies ha identificado cerca de 3000 archivos creados con la ayuda de este servicio.

Para acceder a Crypters And Tools, el usuario debe pagar una suscripción y entrar al panel de control. Luego, el hacker introduce la dirección URL de un archivo malicioso en un campo específico y configura varios parámetros, como el tipo de dropper, la técnica de persistencia, el nivel de ofuscación del código requerido y el proceso legítimo que se imitará para ocultar la actividad maliciosa.

Un estudio del mercado del cibercrimen realizado por Positive Technologies también indica que el malware listo para usar, como Crypters And Tools, es cada vez más popular entre los ciberdelincuentes. Para mitigar estas amenazas, las organizaciones deben utilizar herramientas avanzadas de análisis de tráfico de red junto con soluciones de protección de endpoints y capacitar a sus empleados para reconocer ataques de ingeniería social.