Malware BatCloak

Analytici kybernetické bezpečnosti odhalili sofistikovaný vícefázový útok využívající phishingové návnady s tématikou faktury jako prostředek pro šíření řady ohrožujícího softwaru, včetně VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT a zloděje kryptopeněženky.

Tyto podvodné e-maily obsahují přílohy ve formě souborů Scalable Vector Graphics (SVG). Po otevření tyto soubory spustí sekvenci infekcí. V této operaci stojí za zmínku využití malwarového obfuskačního enginu BatCloak a ScrubCrypt k šíření malwaru prostřednictvím zatemněných dávkových skriptů.

Malware BatCloak usnadňuje doručování užitečného zatížení v další fázi

BatCloak, který si mohou od konce roku 2022 zakoupit další aktéři hrozeb, pochází z nástroje známého jako Jlaive. Jeho hlavní funkcí je usnadnit nakládání užitečného nákladu v následné fázi způsobem, který se vyhýbá konvenčním metodám detekce.

ScrubCrypt, původně identifikovaný výzkumníky v březnu 2023 během kryptojackingové kampaně organizované gangem 8220, je považován za jednu z iterací BatCloak, podle zjištění Trend Micro v loňském roce.

V nejnovější kampani zkoumané specialisty na kybernetickou bezpečnost funguje soubor SVG jako kanál pro nasazení archivu ZIP obsahujícího dávkový skript pravděpodobně vytvořený pomocí BatCloak. Tento skript poté rozbalí dávkový soubor ScrubCrypt, aby nakonec provedl Venom RAT po navázání stálosti na hostiteli a implementaci opatření k obejití ochran AMSI a ETW.

Kyberzločinci nasazují četné malwarové hrozby prostřednictvím BatCloak

Venom RAT, odnož Quasar RAT, umožňuje útočníkům zmocnit se kompromitovaných systémů, získávat citlivá data a provádět příkazy ze serveru Command-and-Control (C2). Ačkoli se základní funkce Venom RAT může zdát přímočará, vytváří komunikační kanály se serverem C2, aby bylo možné získat další pluginy pro různé činnosti. Ty zahrnují Venom RAT v6.0.3, který je vybaven funkcemi keyloggeru, stejně jako NanoCore RAT, XWorm a Remcos RAT. Zásuvný modul Remcos RAT je šířen z VenomRAT's C2 třemi způsoby: zmateným skriptem VBS s názvem 'remcos.vbs', ScrubCrypt a GuLoader PowerShell.

Prostřednictvím systému zásuvných modulů je také distribuován zloděj, který sbírá systémové informace a sifonuje data ze složek propojených s peněženkami a aplikacemi, jako jsou Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ukončeno v březnu 2023), Zcash, Foxmail a Telegram do vzdálený server.

Zdokumentovaná sofistikovaná útočná operace využívá několik vrstev taktiky mlžení a úniku k šíření a provádění VenomRAT prostřednictvím ScrubCrypt. Pachatelé využívají různé prostředky, včetně phishingových e-mailů se škodlivými přílohami, zatemněných souborů skriptů a prostředí Guloader PowerShell, aby narušili a kompromitovali systémy obětí. Kromě toho nasazení pluginů prostřednictvím různých užitečných zatížení podtrhuje všestrannost a přizpůsobivost útočné kampaně.