意大利公司CloudEyE通過將其二進制加密器出售給惡意軟件團伙而獲得了超過500,000美元的收入。

過去的四年中，這家意大利公司在經營着一個看似合法的網站和業務:提供針對Windows應用程序的逆向二進制保護，但其實是在祕密地爲惡意軟件團伙做廣告併爲其提供服務。

於是在Check Point的安全研究人員開始研究惡意軟件GuLoader的運營模式之後，該公司的祕密業務被曝光，並且上升爲2020年最活躍的惡意操作軟件之一。

Check Point表示，在GuLoader的代碼中發現了CloudEyE Protector提到的反逆向工程軟件服務，儘管源代碼保護服務是 合法且 被大家廣泛使用的（幾乎所有商業/合法應用程序都會使用這些服務），但這家公司及其所有者與黑客論壇上的活動聯繫緊密。例如:在securitycode.eu網站上發佈的CloudEyE二進制保護服務與宣傳名爲DarkEyE的惡意軟件加密服務廣告相連接，早在2014年該加密服務廣告曾在黑客論壇上大量發佈。

Check Point還將三個用於推廣DarkEyE的用戶名和電子郵件與CloudEyE創始人之一的真實身份聯繫在一起，Check Point跟蹤了這三個電子郵件地址和用戶名，發現該用戶名曾在黑客論壇上發佈了多個帖子。

這些帖子甚至在DarkEyE（CloudEyE的前身）誕生之前就發佈了惡意軟件/二進制加密服務的廣告，最早可以追溯到2011年，看來該用戶在網絡犯罪和惡意軟件社區中的地位和影響力都很深。

Check Point表示CloudEyE團隊吹噓其網站上有5,000多個客戶：“根據我們每月100美元的最低工資標準，我們的服務收入至少爲50萬美元。但是，考慮到我們某些時候可能會高達750美元/月，而一些客戶很可能會在幾個月內就使用這項服務，那麼這個數字總和可能會高得多。

所有線索都表明，這兩家CloudEyE運營商試圖通過將其犯罪行爲合法化，來 以此 證明自己的利潤，並避免在兌現其鉅額利潤時引起當地稅務機關的懷疑。

Check Point表示，在過去幾年中，darkye和CloudEyE的工具被廣泛使用，而CloudEyE的主要客戶，就是GuLoader。

在本週發佈的一份報告中，Check Point列出了CloudEyE和GuLoader之間的聯繫。

最明顯的是，通過CloudEyE Protect應用程序傳遞的程序代碼包含與野外發現的GuLoader惡意軟件樣本相似的模式。這種連接非常強大，任何通過CloudEyE應用程序的隨機程序幾乎都會被檢測爲惡意軟件，儘管它可能是合法的應用程序。

其次，Check Point表示CloudEyE界面包含一個佔位符（默認）URL，它通常可在GuLoader示例中找到。

第三，許多CloudEyE功能似乎是專門設計來支持GuLoader操作的。

Check Point說：“CloudEyE網站上發佈的教程展示瞭如何在Google Drive和OneDrive等雲硬盤上存儲有效負載。

“雲驅動器通常會執行防病毒檢查，且從技術上講是不允許上傳惡意軟件的，但是CloudEyE中的有效負載加密可以幫助繞過此限制。”

對於普通應用程序來說，這種功能毫無意義。然而避免進行雲掃描對於惡意軟件操作至關重要，尤其是對於像GuLoader這樣被歸爲“網絡下載程序”的。

繼Check Point週一發佈了報告之後，CloudEyE在週三對此調查結果做出了回應。

這家意大利公司譴責了該報告，並將該工具用於惡意軟件操作的原因歸咎於是用戶在不知情的情況下實施的行爲。

不過，網絡安全界人士認爲該公司的聲明是“拙劣的謊言”，並呼籲意大利當局調查該公司及其兩名創始人。

參考鏈接

https://www.zdnet.com/article/italian-company-exposed-as-a-front-for-malware-operations/

*本文作者:日影飛趣，轉載請註明來自FreeBuf.COM