Programari maliciós BatCloak

Els analistes de ciberseguretat han descobert un assalt sofisticat en diverses fases que empra esquers de pesca amb temes de factura com a vehicle per dispensar una sèrie de programari amenaçador, com ara el VenomRAT , el RemcosRAT , el XWormRAT , el NanoCore RAT i un robatori de cartera criptogràfica.

Aquests correus electrònics fraudulents contenen fitxers adjunts en forma de fitxers de gràfics vectorials escalables (SVG). Un cop oberts, aquests fitxers desencadenen una seqüència d'infeccions. En aquesta operació cal destacar la utilització del motor d'ofuscament de programari maliciós BatCloak i ScrubCrypt per difondre el programari maliciós mitjançant scripts per lots ofuscats.

El programari maliciós BatCloak facilita el lliurament de càrregues útils de la següent etapa

BatCloak, disponible per a la compra d'altres actors d'amenaça des de finals de 2022, prové d'una eina coneguda com Jlaive. La seva funció principal és facilitar la càrrega d'una càrrega útil d'etapa posterior d'una manera que eludi els mètodes de detecció convencionals.

ScrubCrypt, identificat inicialment pels investigadors el març de 2023 durant una campanya de criptojacking orquestrada per 8220 Gang, es creu que és una de les iteracions de BatCloak, segons les troballes de Trend Micro l'any passat.

A la campanya més recent examinada per especialistes en ciberseguretat, el fitxer SVG actua com a conducte per desplegar un arxiu ZIP que conté un script per lots probablement elaborat amb BatCloak. A continuació, aquest script desempaqueta el fitxer per lots ScrubCrypt per executar Venom RAT després d'establir la persistència a l'amfitrió i implementar mesures per evitar les proteccions AMSI i ETW.

Els cibercriminals despleguen nombroses amenaces de programari maliciós mitjançant BatCloak

Una branca del Quasar RAT , el Venom RAT permet als atacants apoderar-se de sistemes compromesos, recollir dades sensibles i executar ordres des d'un servidor de comandament i control (C2). Tot i que la funcionalitat bàsica de Venom RAT pot semblar senzilla, estableix canals de comunicació amb el servidor C2 per obtenir complements addicionals per a activitats diverses. Aquests inclouen Venom RAT v6.0.3, que està equipat amb capacitats de registre de tecles, així com NanoCore RAT, XWorm i Remcos RAT. El connector Remcos RAT es difon des del C2 de VenomRAT mitjançant tres mètodes: un script VBS ofuscat anomenat 'remcos.vbs', ScrubCrypt i GuLoader PowerShell.

També es distribueix a través del sistema de connectors un stealer que recopilen informació del sistema i descarrega dades de carpetes vinculades amb carteres i aplicacions com Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (descatalogat a partir de març de 2023), Zcash, Foxmail i Telegram per un servidor remot.

L'operació d'atac sofisticada documentada utilitza múltiples capes d'ofuscament i tàctiques d'evasió per difondre i executar VenomRAT mitjançant ScrubCrypt. Els autors utilitzen diversos mitjans, com ara correus electrònics de pesca amb fitxers adjunts maliciosos, fitxers d'script ofuscats i Guloader PowerShell, per violar i comprometre els sistemes de les víctimes. A més, el desplegament de connectors mitjançant diverses càrregues útils subratlla la versatilitat i l'adaptabilitat de la campanya d'atac.