Operasi penegakan hukum multinasional telah mengakibatkan pencopotan sindikat kejahatan dunia maya online yang menawarkan layanan kepada para aktor ancaman untuk memastikan bahwa perangkat lunak berbahaya mereka tetap tidak terdeteksi dari perangkat lunak keamanan.
Untuk efek itu, Departemen Kehakiman AS (DOJ) mengatakan itu menyita empat domain dan server terkait mereka memfasilitasi layanan crypting pada 27 Mei 2025, dalam kemitraan dengan otoritas Belanda dan Finlandia. Ini termasuk Avcheck[.]Net, Cryptor[.]Biz, dan Crypt[.]Guru, yang semuanya sekarang menampilkan pemberitahuan kejang.
Negara -negara lain yang berpartisipasi dalam upaya ini termasuk Prancis, Jerman, Denmark, Portugal, dan Ukraina.
“Crypting adalah proses menggunakan perangkat lunak untuk membuat malware sulit untuk dideteksi program antivirus,” kata DOJ. “Domain yang disita menawarkan layanan kepada penjahat cyber, termasuk alat Countivirus (CAV). Ketika digunakan bersama, Cav dan layanan crypting memungkinkan penjahat untuk mengaburkan malware, membuatnya tidak terdeteksi dan memungkinkan akses yang tidak sah ke sistem komputer.”
DOJ mengatakan pihak berwenang melakukan pembelian yang menyamar untuk menganalisis layanan dan mengkonfirmasi bahwa mereka digunakan untuk kejahatan dunia maya. Dalam pengumuman terkoordinasi, pejabat Belanda mencirikan Avcheck sebagai salah satu layanan Cav terbesar yang digunakan oleh aktor buruk di seluruh dunia.
Menurut snapshot yang ditangkap oleh arsip internet, Avcheck[.]NET menagih dirinya sebagai “pemeriksa antivirus moral berkecepatan tinggi,” menawarkan kemampuan bagi pengguna terdaftar untuk memindai file mereka terhadap 26 mesin antivirus, serta domain dan alamat IP dengan 22 mesin antivirus dan daftar blocklist.
Penyitaan domain dilakukan sebagai bagian dari Operasi Endgame, upaya global yang sedang berlangsung yang diluncurkan pada tahun 2024 untuk membongkar kejahatan dunia maya. Ini menandai tindakan utama keempat dalam beberapa minggu terakhir setelah gangguan pencuri Lumma, Danabot, dan ratusan domain dan server yang digunakan oleh berbagai keluarga malware untuk memberikan ransomware.
“Penjahat dunia maya tidak hanya membuat malware; mereka menyempurnakannya untuk penghancuran maksimal,” kata Agen Khusus FBI Houston yang bertanggung jawab Douglas Williams. “Dengan memanfaatkan layanan kontra-antivirus, aktor jahat menyempurnakan senjata mereka terhadap sistem keamanan terberat di dunia untuk lebih baik melewati firewall, menghindari analisis forensik, dan mendatangkan malapetaka di seluruh sistem korban.”
Pengembangan ini datang sebagai Esentire Detail Purecrypter, solusi malware-as-a-service (MAAS) yang digunakan untuk mendistribusikan pencuri informasi seperti Lumma dan Rhadamanthys menggunakan vektor akses awal clickFix.
Dipasarkan pada hackforums[.]Net oleh aktor ancaman bernama Purecoder seharga $ 159 selama tiga bulan, $ 399 untuk satu tahun, atau $ 799 untuk akses seumur hidup, crypter didistribusikan menggunakan saluran telegram otomatis, @thepurebot, yang juga berfungsi sebagai pasar untuk penawaran lain, termasuk purerat dan purelog.
Seperti pemasok lain dari alat -alat tersebut, PureCoder mengharuskan pengguna untuk mengakui perjanjian Ketentuan Layanan (TOS) yang mengklaim perangkat lunak itu dimaksudkan hanya untuk tujuan pendidikan dan bahwa setiap pelanggaran akan mengakibatkan pembangkangan langsung akses dan kunci serial mereka.
Malware ini juga menggabungkan kemampuan untuk menambal API NTManagehotPatch dalam memori pada mesin Windows yang berjalan 24H2 atau lebih baru untuk mengaktifkan kembali injeksi kode berbasis hollowing. Temuan ini menunjukkan bagaimana aktor ancaman dengan cepat beradaptasi dan menyusun cara untuk mengalahkan mekanisme keamanan baru.
“Malware menggunakan beberapa teknik penghindaran termasuk bypass AMSI, DLL Unhooking, Deteksi Anti-VM, tindakan anti-debugging, dan baru-baru ini menambahkan kemampuan untuk memotong Windows 11 24H2 fitur keamanan melalui NTManagehotPatch API Patching,” kata Canadian Cybersecurity Company.
“Pengembang menggunakan taktik pemasaran yang menipu dengan mempromosikan status 'sepenuhnya tidak terdeteksi' (FUD) berdasarkan AvCheck[.]Hasil bersih, sementara Virustotal menunjukkan deteksi oleh beberapa solusi AV/EDR, mengungkapkan perbedaan yang signifikan dalam tingkat deteksi. “
