البرامج الضارة BatCloak

اكتشف محللو الأمن السيبراني هجومًا متطورًا متعدد المراحل يستخدم إغراءات التصيد الاحتيالي تحت عنوان الفاتورة كوسيلة لتوزيع مجموعة من برامج التهديد، بما في ذلك VenomRAT ، و RemcosRAT ، و XWormRAT ، و NanoCore RAT ، وسرقة استهداف محفظة العملات المشفرة.

تحتوي رسائل البريد الإلكتروني الاحتيالية هذه على مرفقات في شكل ملفات رسومات متجهة قابلة للتحجيم (SVG). بمجرد فتح هذه الملفات، فإنها تؤدي إلى سلسلة من الإصابات. من الجدير بالذكر في هذه العملية استخدام محرك تعتيم البرامج الضارة BatCloak وScrubCrypt لنشر البرامج الضارة من خلال البرامج النصية المجمعة المبهمة.

تعمل البرامج الضارة BatCloak على تسهيل تسليم حمولات المرحلة التالية

BatCloak، المتاح للشراء من قبل جهات تهديد أخرى منذ أواخر عام 2022، ينشأ من أداة تعرف باسم Jlaive. وتتمثل وظيفتها الرئيسية في تسهيل تحميل حمولة المرحلة اللاحقة بطريقة تتجنب طرق الكشف التقليدية.

يُعتقد أن ScrubCrypt، الذي تم تحديده في البداية من قبل الباحثين في مارس 2023 خلال حملة تعدين خفي نظمتها عصابة 8220، هو أحد تكرارات BatCloak، وفقًا للنتائج التي توصلت إليها Trend Micro العام الماضي.

في أحدث حملة تم فحصها من قبل متخصصي الأمن السيبراني، يعمل ملف SVG كقناة لنشر أرشيف ZIP يحتوي على برنامج نصي دفعي تم إعداده على الأرجح باستخدام BatCloak. يقوم هذا البرنامج النصي بعد ذلك بفك ضغط الملف الدفعي ScrubCrypt لتنفيذ Venom RAT في النهاية بعد تثبيت الثبات على المضيف وتنفيذ الإجراءات لتجاوز حماية AMSI وETW.

ينشر مجرمو الإنترنت العديد من تهديدات البرامج الضارة عبر BatCloak

فرع من Quasar RAT ، يعمل Venom RAT على تمكين المهاجمين من السيطرة على الأنظمة المخترقة وجمع البيانات الحساسة وتنفيذ الأوامر من خادم القيادة والتحكم (C2). على الرغم من أن الوظيفة الأساسية لـ Venom RAT قد تبدو واضحة، إلا أنها تنشئ قنوات اتصال مع خادم C2 لشراء مكونات إضافية إضافية للأنشطة المتنوعة. وتشمل هذه الإصدارات Venom RAT v6.0.3، المجهز بإمكانات تسجيل لوحة المفاتيح، بالإضافة إلى NanoCore RAT وXWorm وRemcos RAT. يتم نشر البرنامج المساعد Remcos RAT من VenomRAT's C2 من خلال ثلاث طرق: برنامج نصي VBS غامض يسمى "remcos.vbs"، وScrubCrypt، و GuLoader PowerShell.

يتم أيضًا توزيع أداة سرقة عبر نظام المكونات الإضافية تقوم بمسح معلومات النظام وسحب البيانات من المجلدات المرتبطة بالمحافظ والتطبيقات مثل Atomic Wallet وElectrum وEthereum وExodus وJaxx Liberty (تم إيقافها اعتبارًا من مارس 2023) وZcash وFoxmail وTelegram إلى خادم بعيد.

تستخدم عملية الهجوم المعقدة الموثقة طبقات متعددة من أساليب التشويش والتهرب لنشر وتنفيذ VenomRAT عبر ScrubCrypt. يستخدم الجناة وسائل مختلفة، بما في ذلك رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات ضارة، وملفات النصوص البرمجية المبهمة، وGuloader PowerShell، لاختراق أنظمة الضحايا وتعريضها للخطر. علاوة على ذلك، فإن نشر المكونات الإضافية من خلال حمولات متنوعة يؤكد على تنوع حملة الهجوم وقدرتها على التكيف.