暗网兜售号称可绕过Windows Defender的AI增强型变形加密器

暗网论坛已成为复杂恶意软件工具的集散地，攻击者不断改进其技术能力以规避安全解决方案。最新出现的AI驱动加密器服务号称具有前所未有的规避能力，使企业环境面临重大风险。

新型AI加密器服务现身暗网

化名ImpactSolutions的攻击者在地下论坛推广一款名为InternalWhisper x ImpactSolutions的高级变形加密器。该工具标志着恶意软件开发的重要转变——通过人工智能在编译过程中动态转换恶意代码，从根本上改变了传统威胁检测机制，使每次生成的二进制文件都具有唯一性。

该加密器的核心优势在于其AI驱动的变形引擎，能在每次构建周期重写大部分恶意代码，生成无特征二进制文件，规避杀毒软件依赖的静态标记检测。威胁分子宣称该工具可绕过Windows Defender等主流终端安全平台，实现地下社区所称的"完全不可检测"（Fully Undetectable，FUD）状态。

自动化服务降低攻击门槛

ThreatMon分析师指出，该恶意软件服务因其易用性和操作灵活性尤为危险。其基于网页的自动化操作面板无需专业技术知识，可在数秒内生成受保护的二进制文件。这种高级规避技术的"平民化"大幅扩展了潜在用户群体，不再局限于技术娴熟的威胁组织。

多重感染机制与规避技术

该服务的感染机制设计精密，支持多种载荷类型，包括原生C/C++二进制文件和.NET应用程序，兼容x86/x64 Windows架构。加载选项注重隐蔽性：

采用绕过传统API监控的直接系统调用

通过进程镂空技术将代码注入合法进程

滥用微软签名可执行文件实施签名二进制旁加载

这些规避手段与高级安全功能协同工作：

采用AES-256载荷加密和运行时字符串加密隐藏恶意功能

反分析技术可检测虚拟环境和沙箱

可选持久化机制确保恶意软件在系统重启后存活

元数据伪造、图标定制和证书克隆使恶意软件伪装成合法软件

商业化运营加剧威胁

该服务的商业化运作模式尤其令人担忧。攻击者提供分级定价方案，将工具定位为面向长期客户的"合法服务"。这种商业模式意味着持续开发和改进，为防御者带来长期威胁挑战。