Een Italiaans bedrijf dat verdacht wordt van het faciliteren van cybercriminelen heeft na onderzoek van een securitybedrijf de deuren gesloten. Naar eigen zeggen om verder misbruik van de aangeboden diensten te voorkomen. Het Italiaanse bedrijf bood sinds 2015 een product aan genaamd "CloudEye", dat het kraken, aanpassen en reverse engineeren van Windowsprogramma's moet voorkomen.
Onderzoekers van securitybedrijf Check Point ontdekten dat CloudEye werd gebruikt door cybercriminelen om detectie door antivirussoftware te bemoeilijken. Zo werd het onder andere gebruikt voor een malware-dropper genaamd GuLoader. Deze dropper wordt via bijlagen verspreid, bijvoorbeeld als een ISO-bestand. Zodra het slachtoffer het ISO-bestand opent downloadt de dropper de daadwerkelijke malware van het internet.
Deze malware is bijvoorbeeld in Google Drive opgeslagen. Om detectie door Google te voorkomen is de opgeslagen malware versleuteld en wordt pas op het systeem van de gebruiker ontsleuteld en in het geheugen uitgevoerd. Dit verschilt van de "traditionele wijze", waarbij de volledige malware als bijlage wordt meegestuurd. Cybercriminelen maken hierbij dan gebruik van zogeheten packers en crypters om de code te obfusceren en detectie door onderzoekers en antivirus te bemoeilijken.
De methode waarbij er gebruik wordt gemaakt van clouddiensten maakt analyse veel lastiger, aldus Check Point. "Wanneer een campagne afloopt wordt de malware van de cloudopslag verwijderd, waardoor onderzoekers alleen naar de downloader, een encryptiesleutel en een dode cloudopslaglink kunnen kijken", stelt het securitybedrijf. Doordat de malware alleen in het geheugen draait is de kwaadaardige code vaak al lang verdwenen wanneer een analist de besmette machine kan onderzoeken.
Onderzoekers ontdekten dat inmiddels bij veel aanvallen de GuLoader wordt gebruikt en die allerlei soorten malware op systemen downloadt. Onderzoek naar GuLoader kwam uit bij een programma genaamd DarkEye Protector, dat was gebruikt om de te downloaden malware tegen analyse te beschermen. DarkEye werd op verschillende fora voor cybercriminelen aangeboden.
Via de advertenties voor DarkEye kwam Check Point uit bij een website die het product CloudEye aanbiedt. Een product dat volgens de ontwikkelaars analyse van Windowsapplicaties moet voorkomen. Daarnaast hadden de ontwikkelaars verschillende YouTube-video's gemaakt waarin ze uitleggen hoe applicaties die in Google Drive worden gehost via CloudEye zijn te beschermen. Precies de werkwijze die GuLoader toepast.
De onderzoekers besloten daarop CloudEye zelf met een onschuldig bestand te testen. Het bestand dat CloudEye genereerde werd als GuLoad gedetecteerd. Volgens CheckPoint laat dit zien dat DarkEye is overgegaan in CloudEye. In de advertenties voor DarkEye werden verschillende e-mailadressen genoemd. Aan de hand van deze e-mailadressen kwamen de onderzoekers uit bij een pdf-document dat de naam van een Italiaanse man bevatte. Die naam staat ook vermeld in het privacybeleid van de website waarop CloudEye wordt aangeboden.
"De operaties van CloudEye mogen er dan legitiem uitzien, de diensten die het levert zijn het afgelopen jaar bij duizenden aanvallen gebruikt. Handleidingen op de CloudEye-website laten zien hoe payloads bij clouddiensten zoals Google Drive en OneDrive kunnen worden opgeslagen. Clouddiensten scannen op virussen en staan het uploaden van malware technisch niet toe. De payload-encryptie van CloudEye helpt om deze beperking te omzeilen", aldus Check Point.
Nadat de analyse van het securitybedrijf online verscheen besloten de twee ontwikkelaars van de dienst om de stekker uit CloudEye te trekken. Naar eigen zeggen was de software alleen ontwikkeld om intellectueel eigendom te beschermen en niet om malware te verspreiden. "Hoewel we niet zeker weten dat wat er in de media wordt beweerd waar is, is het volgens ons gepast om onze dienst niet meer aan te bieden", aldus de ontwikkelaars. Die bedanken alle klanten die sinds 2015 van de diensten gebruikmaakten en beloven dat iedereen die nog een geldige licentie heeft zijn geld terugkrijgt.
Deze posting is gelocked. Reageren is niet meer mogelijk.