Una operación multinacional de aplicación de la ley ha resultado en el derribo de un sindicato de delito cibernético en línea que ofreció servicios a los actores de amenaza para garantizar que su software malicioso no se detectara en el software de seguridad.
En ese sentido, el Departamento de Justicia de los Estados Unidos (DOJ) dijo que incautó cuatro dominios y su servidor asociado facilitó el servicio de cripting el 27 de mayo de 2025, en asociación con las autoridades holandesas y finlandesas. Estos incluyen AvCheck (.) Net, Cryptor (.) Biz y Crypt (.) Guru, todo lo cual ahora muestra un aviso de incautación.
Otros países que participaron en el esfuerzo incluyen Francia, Alemania, Dinamarca, Portugal y Ucrania.
«La cripta es el proceso de usar software para dificultar el malware para los programas antivirus», dijo el Departamento de Justicia. «Los dominios incautados ofrecían servicios a los ciberdelincuentes, incluidas las herramientas contra el antivirus (CAV). Cuando se usan juntos, los servicios de Cav y cripting permiten a los delincuentes ofusar malware, lo que lo hace indetectable y permitiendo el acceso no autorizado a los sistemas informáticos».
El Departamento de Justicia dijo que las autoridades hicieron compras encubiertas para analizar los servicios y confirmaron que se estaban utilizando para el delito cibernético. En un anuncio coordinado, los funcionarios holandeses caracterizaron a Avcheck como uno de los mayores servicios de CAV utilizados por malos actores de todo el mundo.
Según las instantáneas capturadas por el Archivo de Internet, AvCheck (.) Net se anunció como un «verificador de escánimo antivirus de alta velocidad», ofreciendo la capacidad de los usuarios registrados para escanear sus archivos contra 26 motores antivirus, así como dominios y direcciones IP con 22 motores antivirus y listas de blocks.
Las convulsiones de dominio se realizaron como parte de la Operación Endgame, un esfuerzo global en curso lanzado en 2024 para desmantelar el delito cibernético. Marca la cuarta acción importante en las últimas semanas después de la interrupción de Lumma Stealer, Danabot, y cientos de dominios y servidores utilizados por varias familias de malware para entregar ransomware.
«Los cibercriminales no solo crean malware; lo perfeccionan para la máxima destrucción», dijo el agente especial del FBI Houston a cargo Douglas Williams. «Al aprovechar los servicios de contra-antivirus, los actores maliciosos refinan sus armas contra los sistemas de seguridad más difíciles del mundo para pasar mejor los firewalls, evadir el análisis forense y causar estragos en los sistemas de las víctimas».
El desarrollo se produce cuando Esentire PurecryPter detallado, una solución de malware como servicio (MAAS) que se está utilizando para distribuir robadores de información como Lumma y Rhadamanthys utilizando el Vector de acceso inicial de ClickFix.
Comercializado en Hackforums (.) Net por un actor de amenaza llamado Purecoder por $ 159 por tres meses, $ 399 por un año, o $ 799 para el acceso de por vida, el Crypter se distribuye utilizando un canal de telegrama automatizado, @ThePureBot, que también sirve como un mercado para otras ofertas, incluidas Purerat y Purelogs.
Al igual que otros proveedores de tales herramientas, Purecoder requiere que los usuarios reconozcan un acuerdo de Términos de Servicio (TOS) que afirma que el software está destinado solo a fines educativos y que cualquier violación resultaría en una revocación inmediata de su acceso y clave en serie.
El malware también incorpora la capacidad de parchear la API NTManageHotPatch en la memoria en las máquinas de Windows que se ejecutan 24H2 o más nueva para volver a habilitar la inyección de código basada en el hueco. Los hallazgos demuestran cómo los actores de amenaza se adaptan rápidamente e diseñan formas de derrotar a los nuevos mecanismos de seguridad.
«El malware emplea técnicas de evasión múltiple que incluyen bypass de AMSI, desacoplamiento DLL, detección anti-VM, medidas anti-fondos y capacidades recientemente agregadas para evitar las características de seguridad de Windows 11h2 a través del parcheo de la API NTManageHotPatch», dijo la compañía de ciberseguridad canadiense.
«Los desarrolladores utilizan tácticas de marketing engañosas al promover el estado ‘totalmente sin detectado’ (FUD) basado en los resultados netos AVCHECK (.), Mientras que Virustotal muestra la detección por múltiples soluciones AV/EDR, revelando discrepancias significativas en las tasas de detección».