意大利公司CloudEyE通過將其二進制加密器出售給惡意軟件團伙而獲得了超過500,000美元的收入。

過去的四年中，這家意大利公司在經營著一個看似合法的網站和業務:提供針對Windows應用程序的逆向二進制保護，但其實是在秘密地為惡意軟件團伙做廣告并為其提供服務。

于是在Check Point的安全研究人員開始研究惡意軟件GuLoader的運營模式之后，該公司的秘密業務被曝光，并且上升為2020年最活躍的惡意操作軟件之一。

Check Point表示，在GuLoader的代碼中發現了CloudEyE Protector提到的反逆向工程軟件服務，盡管源代碼保護服務是合法且被大家廣泛使用的(幾乎所有商業/合法應用程序都會使用這些服務)，但這家公司及其所有者與黑客論壇上的活動聯系緊密。例如:在securitycode.eu網站上發布的CloudEyE二進制保護服務與宣傳名為DarkEyE的惡意軟件加密服務廣告相連接，早在2014年該加密服務廣告曾在黑客論壇上大量發布。

Check Point還將三個用于推廣DarkEyE的用戶名和電子郵件與CloudEyE創始人之一的真實身份聯系在一起，Check Point跟蹤了這三個電子郵件地址和用戶名，發現該用戶名曾在黑客論壇上發布了多個帖子。

這些帖子甚至在DarkEyE(CloudEyE的前身)誕生之前就發布了惡意軟件/二進制加密服務的廣告，最早可以追溯到2011年，看來該用戶在網絡犯罪和惡意軟件社區中的地位和影響力都很深。

Check Point表示CloudEyE團隊吹噓其網站上有5,000多個客戶：“根據我們每月100美元的最低工資標準，我們的服務收入至少為50萬美元。但是，考慮到我們某些時候可能會高達750美元/月，而一些客戶很可能會在幾個月內就使用這項服務，那么這個數字總和可能會高得多。

所有線索都表明，這兩家CloudEyE運營商試圖通過將其犯罪行為合法化，來以此證明自己的利潤，并避免在兌現其巨額利潤時引起當地稅務機關的懷疑。

Check Point表示，在過去幾年中，darkye和CloudEyE的工具被廣泛使用，而CloudEyE的主要客戶，就是GuLoader。

在本周發布的一份報告中，Check Point列出了CloudEyE和GuLoader之間的聯系。

最明顯的是，通過CloudEyE Protect應用程序傳遞的程序代碼包含與野外發現的GuLoader惡意軟件樣本相似的模式。這種連接非常強大，任何通過CloudEyE應用程序的隨機程序幾乎都會被檢測為惡意軟件，盡管它可能是合法的應用程序。

其次，Check Point表示CloudEyE界面包含一個占位符(默認)URL，它通?？稍贕uLoader示例中找到。

[[330195]]

第三，許多CloudEyE功能似乎是專門設計來支持GuLoader操作的。

Check Point說：“CloudEyE網站上發布的教程展示了如何在Google Drive和OneDrive等云硬盤上存儲有效負載。

“云驅動器通常會執行防病毒檢查，且從技術上講是不允許上傳惡意軟件的，但是CloudEyE中的有效負載加密可以幫助繞過此限制。”

對于普通應用程序來說，這種功能毫無意義。然而避免進行云掃描對于惡意軟件操作至關重要，尤其是對于像GuLoader這樣被歸為“網絡下載程序”的。

繼Check Point周一發布了報告之后，CloudEyE在周三對此調查結果做出了回應。

這家意大利公司譴責了該報告，并將該工具用于惡意軟件操作的原因歸咎于是用戶在不知情的情況下實施的行為。

不過，網絡安全界人士認為該公司的聲明是“拙劣的謊言”，并呼吁意大利當局調查該公司及其兩名創始人。