意大利公司CloudEyE通过向恶意软件团伙出售其二进制加密器赚取超过500,000美元。在过去的四年里,这家意大利公司一直在经营看似合法的网站和业务:为Windows应用程序提供反向工程二进制保护,但秘密地为恶意软件团伙做广告和服务。因此在CheckPoint的安全研究人员开始研究恶意软件GuLoader的运行模式后,该公司的秘密业务被曝光,并上升为2020年最活跃的恶意软件业务之一。CheckPoint表示,提到的反逆向工程软件服务CloudEyEProtector在GuLoader的代码中找到。虽然源代码保护服务是合法的并且被大家广泛使用(几乎所有的商业/合法应用程序都会使用这些服务),但是该公司及其所有者与黑客论坛上的活动有着密切的联系。例如:securitycode.eu网站上发布的CloudEyE二进制保护服务连接到一个名为DarkEyE的恶意软件加密服务的广告,该服务早在2014年就在黑客论坛上大量发布。CheckPoint还链接了三个用户名和电子邮件用于将DarkEyE宣传为CloudEyE创始人之一的真实身份,CheckPoint对此进行了追踪,发现该用户名已在黑客论坛上发布了多个帖子。这些帖子甚至在DarkEyE(CloudEyE的前身)之前就宣传了恶意软件/二进制加密服务,其历史可追溯到2011年,看来该用户在网络犯罪和恶意软件社区深处已经建立并具有影响力。CheckPoint表示,CloudEyE团队在其网站上自夸拥有超过5,000名客户:“根据我们每月100美元的最低工资,我们的服务收入至少为50万美元。但是,考虑到我们在某个时候可能高达750美元/月,虽然一些客户很可能会在几个月内使用该服务,但总和可能会高得多。所有线索都指向这两家CloudEyE运营商试图通过证明自己的利润和避免被怀疑的嫌疑来使他们的犯罪行为合法化。当地税务机关在套现巨额利润时CheckPoint表示,过去几年,darkye和CloudEyE的工具被广泛使用,而CloudEyE的主要客户是GuLoader。在本周发布的一份报告中,CheckPoint列出了CloudEyE和GuLoader之间的联系。最值得注意的是,通过CloudEyEProtect应用程序传送的程序代码包含一种类似于在野外发现的GuLoader恶意软件样本的模式。这种联系非常强大,以至于任何通过CloudEyE应用程序的随机程序几乎总是会被检测为恶意软件,即使它可能是合法的应用程序。其次,CheckPoint表示CloudEyE界面包含一个占位符(默认)URL,通常可以在GuLoader示例中找到。第三,许多Clo??udEyE功能似乎是专门为支持GuLoader操作而设计的。“CloudEyE网站上发布的教程展示了如何将有效载荷存储在GoogleDrive和OneDrive等云驱动器上,”CheckPoint说。“云盘经常执行防病毒检查,技术上不允许上传恶意软件。但CloudEyE中的有效负载加密可以帮助绕过这一限制。“对于普通应用程序,这种功能毫无意义。然而,避免云扫描对于恶意软件操作至关重要,尤其是对于像GuLoader这样被归类为“网络下载程序”的恶意软件。在CheckPoint的周一发布之后,CloudEyE在报告发布后的周三对调查结果做出了回应。这家意大利公司谴责了该报告,并将该工具用于恶意软件操作的行为归咎于用户的不知情行为。然而,网络安全界人士认为该公司的声明是“拙劣的谎言”,并呼吁意大利当局对该公司及其两位创始人进行调查。
