信息來(lái)源：cnbeta

意大利公司CloudEyE通過(guò)將其二進(jìn)制加密器出售給惡意軟件團(tuán)伙而獲得了超過(guò)500,000美元的收入。

過(guò)去的四年中，這家意大利公司在經(jīng)營(yíng)著一個(gè)看似合法的網(wǎng)站和業(yè)務(wù):提供針對(duì)Windows應(yīng)用程序的逆向二進(jìn)制保護(hù)，但其實(shí)是在秘密地為惡意軟件團(tuán)伙做廣告并為其提供服務(wù)。

于是在Check Point的安全研究人員開(kāi)始研究惡意軟件GuLoader的運(yùn)營(yíng)模式之后，該公司的秘密業(yè)務(wù)被曝光，并且上升為2020年最活躍的惡意操作軟件之一。

Check Point表示，在GuLoader的代碼中發(fā)現(xiàn)了CloudEyE Protector提到的反逆向工程軟件服務(wù)，盡管源代碼保護(hù)服務(wù)是合法且被大家廣泛使用的(幾乎所有商業(yè)/合法應(yīng)用程序都會(huì)使用這些服務(wù))，但這家公司及其所有者與黑客論壇上的活動(dòng)聯(lián)系緊密。例如:在securitycode.eu網(wǎng)站上發(fā)布的CloudEyE二進(jìn)制保護(hù)服務(wù)與宣傳名為DarkEyE的惡意軟件加密服務(wù)廣告相連接，早在2014年該加密服務(wù)廣告曾在黑客論壇上大量發(fā)布。

Check Point還將三個(gè)用于推廣DarkEyE的用戶(hù)名和電子郵件與CloudEyE創(chuàng)始人之一的真實(shí)身份聯(lián)系在一起，Check Point跟蹤了這三個(gè)電子郵件地址和用戶(hù)名，發(fā)現(xiàn)該用戶(hù)名曾在黑客論壇上發(fā)布了多個(gè)帖子。

這些帖子甚至在DarkEyE(CloudEyE的前身)誕生之前就發(fā)布了惡意軟件/二進(jìn)制加密服務(wù)的廣告，最早可以追溯到2011年，看來(lái)該用戶(hù)在網(wǎng)絡(luò)犯罪和惡意軟件社區(qū)中的地位和影響力都很深。

Check Point表示CloudEyE團(tuán)隊(duì)吹噓其網(wǎng)站上有5,000多個(gè)客戶(hù)：“根據(jù)我們每月100美元的最低工資標(biāo)準(zhǔn)，我們的服務(wù)收入至少為50萬(wàn)美元。但是，考慮到我們某些時(shí)候可能會(huì)高達(dá)750美元/月，而一些客戶(hù)很可能會(huì)在幾個(gè)月內(nèi)就使用這項(xiàng)服務(wù)，那么這個(gè)數(shù)字總和可能會(huì)高得多。

所有線(xiàn)索都表明，這兩家CloudEyE運(yùn)營(yíng)商試圖通過(guò)將其犯罪行為合法化，來(lái)以此證明自己的利潤(rùn)，并避免在兌現(xiàn)其巨額利潤(rùn)時(shí)引起當(dāng)?shù)囟悇?wù)機(jī)關(guān)的懷疑。

Check Point表示，在過(guò)去幾年中，darkye和CloudEyE的工具被廣泛使用，而CloudEyE的主要客戶(hù)，就是GuLoader。

在本周發(fā)布的一份報(bào)告中，Check Point列出了CloudEyE和GuLoader之間的聯(lián)系。

最明顯的是，通過(guò)CloudEyE Protect應(yīng)用程序傳遞的程序代碼包含與野外發(fā)現(xiàn)的GuLoader惡意軟件樣本相似的模式。這種連接非常強(qiáng)大，任何通過(guò)CloudEyE應(yīng)用程序的隨機(jī)程序幾乎都會(huì)被檢測(cè)為惡意軟件，盡管它可能是合法的應(yīng)用程序。

其次，Check Point表示CloudEyE界面包含一個(gè)占位符(默認(rèn))URL，它通?？稍贕uLoader示例中找到。

第三，許多CloudEyE功能似乎是專(zhuān)門(mén)設(shè)計(jì)來(lái)支持GuLoader操作的。

Check Point說(shuō)：“CloudEyE網(wǎng)站上發(fā)布的教程展示了如何在Google Drive和OneDrive等云硬盤(pán)上存儲(chǔ)有效負(fù)載。

“云驅(qū)動(dòng)器通常會(huì)執(zhí)行防病毒檢查，且從技術(shù)上講是不允許上傳惡意軟件的，但是CloudEyE中的有效負(fù)載加密可以幫助繞過(guò)此限制?！?

對(duì)于普通應(yīng)用程序來(lái)說(shuō)，這種功能毫無(wú)意義。然而避免進(jìn)行云掃描對(duì)于惡意軟件操作至關(guān)重要，尤其是對(duì)于像GuLoader這樣被歸為“網(wǎng)絡(luò)下載程序”的。

繼Check Point周一發(fā)布了報(bào)告之后，CloudEyE在周三對(duì)此調(diào)查結(jié)果做出了回應(yīng)。

這家意大利公司譴責(zé)了該報(bào)告，并將該工具用于惡意軟件操作的原因歸咎于是用戶(hù)在不知情的情況下實(shí)施的行為。

不過(guò)，網(wǎng)絡(luò)安全界人士認(rèn)為該公司的聲明是“拙劣的謊言”，并呼吁意大利當(dāng)局調(diào)查該公司及其兩名創(chuàng)始人。