EUA e Europa derrubam domínios que ofereciam serviços de ofuscação de malware em megaoperação policial

Em uma operação internacional de combate ao cibercrime, autoridades dos Estados Unidos, Holanda e Finlândia desativaram quatro domínios utilizados por grupos hackers para oferecer serviços de criptografia de malware, uma técnica usada para burlar sistemas de segurança digital. Os sites AvCheck[.]net, Cryptor[.]biz, Crypt[.]guru e um quarto domínio não divulgado agora exibem mensagens de apreensão oficial.

Segundo o Departamento de Justiça dos EUA (DoJ), os serviços oferecidos pelos domínios visavam dificultar a detecção de softwares maliciosos por programas antivírus, fornecendo ferramentas conhecidas como counter-antivirus (CAV). Esses recursos permitiam que hackers ofuscassem seus malwares, facilitando o acesso não autorizado a sistemas de terceiros. A ação, realizada em 27 de maio de 2025, contou ainda com o apoio de autoridades da França, Alemanha, Dinamarca, Portugal e Ucrânia, no âmbito da Operation Endgame, uma iniciativa global lançada em 2024 para desmantelar infraestruturas cibercriminosas.

O AvCheck, um dos alvos principais da operação, era promovido como um serviço de verificação de arquivos em alta velocidade, permitindo que usuários testassem seus arquivos, domínios e endereços IP contra dezenas de motores antivírus e listas de bloqueio. De acordo com o FBI, os agentes realizaram compras disfarçadas para comprovar o uso do serviço por criminosos. A agência reforçou que hackers não apenas criam malware, mas também os refinam com precisão para evitar detecção e causar o máximo de destruição possível.

Enquanto isso, a empresa de cibersegurança canadense eSentire detalhou o funcionamento do PureCrypter, um serviço de malware sob demanda (malware-as-a-service - MaaS), vinculado à distribuição de infostealers como Lumma e Rhadamanthys. Comercializado por um hacker identificado como PureCoder, o crypter é disponibilizado por meio de um canal automatizado no Telegram chamado @ThePureBot, que também promove outros malwares como PureRAT e PureLogs. O pacote utiliza diversas técnicas avançadas de evasão, incluindo desativação de ferramentas de análise de segurança, detecção de máquinas virtuais e manipulação de APIs críticas do Windows, inclusive em versões recentes como o Windows 11 24H2.

Apesar de alegarem em seus termos de serviço que os softwares são “apenas para fins educacionais”, os desenvolvedores utilizam estratégias de marketing enganosas ao promoverem status Fully UnDetected (FUD) com base em resultados do AvCheck[.]net — enquanto plataformas como VirusTotal identificam detecções em diversos mecanismos de defesa. A discrepância evidencia os riscos associados a esses serviços, que continuam a impulsionar o avanço e a sofisticação das ameaças cibernéticas.

Via - THN