BatCloak Malware

Cybersikkerhedsanalytikere har afsløret et sofistikeret flerfaset overfald, der anvender phishing-lokker med faktura-tema som redskab til at dispensere en række truende software, inklusive VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT og en krypto-pung.

Disse svigagtige e-mails indeholder vedhæftede filer i form af Scalable Vector Graphics (SVG) filer. Når de er åbnet, udløser disse filer en række infektioner. Bemærkelsesværdigt i denne operation er brugen af BatCloak malware obfuscation engine og ScrubCrypt til at sprede malware gennem slørede batch scripts.

BatCloak-malwaren letter leveringen af næste trins nyttelast

BatCloak, tilgængelig for køb af andre trusselsaktører siden slutningen af 2022, stammer fra et værktøj kendt som Jlaive. Dens hovedfunktion er at lette lastningen af en efterfølgende nyttelast på en måde, der omgår konventionelle detektionsmetoder.

ScrubCrypt, der oprindeligt blev identificeret af forskere i marts 2023 under en kryptojacking-kampagne orkestreret af 8220 Banden, menes at være en af gentagelserne af BatCloak, ifølge resultaterne af Trend Micro sidste år.

I den seneste kampagne, der er undersøgt af cybersikkerhedsspecialister, fungerer SVG-filen som en kanal til at implementere et ZIP-arkiv, der indeholder et batch-script, der sandsynligvis er lavet ved hjælp af BatCloak. Dette script pakker derefter ScrubCrypt-batchfilen ud for i sidste ende at udføre Venom RAT efter at have etableret persistens på værten og implementeret foranstaltninger til at omgå AMSI- og ETW-beskyttelser.

Cyberkriminelle implementerer adskillige malware-trusler via BatCloak

En udløber af Quasar RAT , Venom RAT giver angribere mulighed for at tage fat i kompromitterede systemer, høste følsomme data og udføre kommandoer fra en Command-and-Control-server (C2). Selvom Venom RAT's kernefunktionalitet kan virke ligetil, etablerer den kommunikationskanaler med C2-serveren for at skaffe yderligere plugins til forskellige aktiviteter. Disse omfatter Venom RAT v6.0.3, som er udstyret med keylogger-funktioner, samt NanoCore RAT, XWorm og Remcos RAT. Remcos RAT-plugin'et spredes fra VenomRAT's C2 gennem tre metoder: et sløret VBS-script ved navn 'remcos.vbs', ScrubCrypt og GuLoader PowerShell.

Også distribueret via plugin-systemet er en stjæler, der opfanger systeminformation og sifoner data fra mapper forbundet med tegnebøger og applikationer såsom Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (udgået fra marts 2023), Zcash, Foxmail og Telegram til en fjernserver.

Den dokumenterede sofistikerede angrebsoperation anvender flere lag af slørings- og undvigelsestaktikker til at sprede og udføre VenomRAT via ScrubCrypt. Gerningsmændene bruger forskellige midler, herunder phishing-e-mails med ondsindede vedhæftede filer, slørede scriptfiler og Guloader PowerShell, til at bryde og kompromittere offersystemer. Desuden understreger implementeringen af plugins gennem forskellige nyttelast angrebskampagnens alsidighed og tilpasningsevne.