Зловреден софтуер BatCloak

Анализаторите на киберсигурността откриха усъвършенствано многофазно нападение, използващо фишинг примамки на тема фактура като средство за разпространение на набор от заплашителен софтуер, включително VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT и крадец, насочен към крипто портфейл.

Тези измамни имейли съдържат прикачени файлове под формата на файлове с мащабируема векторна графика (SVG). Веднъж отворени, тези файлове задействат поредица от инфекции. Заслужава да се отбележи в тази операция използването на механизма за обфускиране на зловреден софтуер BatCloak и ScrubCrypt за разпространение на зловреден софтуер чрез обфускирани пакетни скриптове.

Зловреден софтуер BatCloak улеснява доставката на полезни товари от следващ етап

BatCloak, достъпен за закупуване от други заплахи от края на 2022 г., произхожда от инструмент, известен като Jlaive. Неговата основна функция е да улесни зареждането на полезен товар от следващ етап по начин, който избягва конвенционалните методи за откриване.

ScrubCrypt, първоначално идентифициран от изследователи през март 2023 г. по време на кампания за криптовалута, организирана от бандата 8220, се смята за една от повторенията на BatCloak, според откритията на Trend Micro миналата година.

В най-новата кампания, проверена от специалисти по киберсигурност, SVG файлът действа като канал за внедряване на ZIP архив, съдържащ партиден скрипт, вероятно създаден с помощта на BatCloak. След това този скрипт разопакова пакетния файл ScrubCrypt, за да изпълни в крайна сметка Venom RAT след установяване на устойчивост на хоста и прилагане на мерки за заобикаляне на AMSI и ETW защити.

Киберпрестъпниците внедряват множество заплахи за зловреден софтуер чрез BatCloak

Разклонение на Quasar RAT , Venom RAT дава възможност на атакуващите да овладеят компрометирани системи, да събират чувствителни данни и да изпълняват команди от Command-and-Control (C2) сървър. Въпреки че основната функционалност на Venom RAT може да изглежда проста, тя установява комуникационни канали със сървъра C2, за да осигури допълнителни добавки за различни дейности. Те включват Venom RAT v6.0.3, който е оборудван с възможности за кийлогър, както и NanoCore RAT, XWorm и Remcos RAT. Приставката Remcos RAT се разпространява от C2 на VenomRAT чрез три метода: обфускиран VBS скрипт, наречен „remcos.vbs“, ScrubCrypt и GuLoader PowerShell.

Също така чрез плъгин системата се разпространява крадец, който събира системна информация и извлича данни от папки, свързани с портфейли и приложения като Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (преустановено от март 2023 г.), Zcash, Foxmail и Telegram към отдалечен сървър.

Документираната сложна операция за атака използва множество нива на обфускация и тактики за избягване, за да разпространи и изпълни VenomRAT чрез ScrubCrypt. Извършителите използват различни средства, включително фишинг имейли със злонамерени прикачени файлове, обфускирани скриптови файлове и Guloader PowerShell, за да пробият и компрометират системите на жертвите. Освен това, внедряването на плъгини чрез различни полезни натоварвания подчертава гъвкавостта и адаптивността на кампанията за атака.