Κακόβουλο λογισμικό BatCloak

Οι αναλυτές κυβερνοασφάλειας ανακάλυψαν μια περίπλοκη επίθεση πολλαπλών φάσεων που χρησιμοποιεί θέλγητρα phishing με θέμα τιμολόγια ως όχημα για τη διανομή μιας σειράς απειλητικών λογισμικών, συμπεριλαμβανομένων των VenomRAT , του RemcosRAT , του XWormRAT , του NanoCore RAT -tartargeto και ενός crypto

Αυτά τα δόλια μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνημμένα με τη μορφή αρχείων Scalable Vector Graphics (SVG). Μόλις ανοίξουν, αυτά τα αρχεία ενεργοποιούν μια σειρά μολύνσεων. Αξιοσημείωτη σε αυτή τη λειτουργία είναι η χρήση της μηχανής συσκότισης κακόβουλου λογισμικού BatCloak και του ScrubCrypt για τη διάδοση του κακόβουλου λογισμικού μέσω δεσμευμένων σεναρίων δέσμης ενεργειών.

Το κακόβουλο λογισμικό BatCloak διευκολύνει την παράδοση ωφέλιμων φορτίων επόμενου σταδίου

Το BatCloak, διαθέσιμο για αγορά από άλλους παράγοντες απειλών από τα τέλη του 2022, προέρχεται από ένα εργαλείο γνωστό ως Jlaive. Η κύρια λειτουργία του είναι να διευκολύνει τη φόρτωση ενός ωφέλιμου φορτίου επόμενου σταδίου με τρόπο που αποφεύγει τις συμβατικές μεθόδους ανίχνευσης.

Το ScrubCrypt, που αρχικά αναγνωρίστηκε από ερευνητές τον Μάρτιο του 2023 κατά τη διάρκεια μιας εκστρατείας cryptojacking που ενορχηστρώθηκε από τη συμμορία 8220, πιστεύεται ότι είναι μία από τις επαναλήψεις του BatCloak, σύμφωνα με τα ευρήματα της Trend Micro πέρυσι.

Στην πιο πρόσφατη καμπάνια που εξετάστηκε εξονυχιστικά από ειδικούς στον τομέα της κυβερνοασφάλειας, το αρχείο SVG λειτουργεί ως αγωγός για την ανάπτυξη ενός αρχείου ZIP που περιέχει ένα σενάριο δέσμης που πιθανότατα έχει δημιουργηθεί χρησιμοποιώντας το BatCloak. Στη συνέχεια, αυτό το σενάριο αποσυσκευάζει το αρχείο δέσμης ScrubCrypt για να εκτελέσει τελικά το Venom RAT αφού εδραιώσει την επιμονή στον κεντρικό υπολογιστή και εφαρμόσει μέτρα για να παρακάμψει τις προστασίες AMSI και ETW.

Οι εγκληματίες του κυβερνοχώρου αναπτύσσουν πολυάριθμες απειλές κακόβουλου λογισμικού μέσω του BatCloak

Ένα παρακλάδι του Quasar RAT , το Venom RAT εξουσιοδοτεί τους εισβολείς να κατακτούν τα παραβιασμένα συστήματα, να συλλέγουν ευαίσθητα δεδομένα και να εκτελούν εντολές από έναν διακομιστή Command-and-Control (C2). Αν και η βασική λειτουργικότητα του Venom RAT μπορεί να φαίνεται απλή, δημιουργεί κανάλια επικοινωνίας με τον διακομιστή C2 για να προμηθευτεί πρόσθετα πρόσθετα για διάφορες δραστηριότητες. Αυτά περιλαμβάνουν το Venom RAT v6.0.3, το οποίο είναι εξοπλισμένο με δυνατότητες keylogger, καθώς και τα NanoCore RAT, XWorm και Remcos RAT. Το πρόσθετο Remcos RAT διαδίδεται από το C2 του VenomRAT μέσω τριών μεθόδων: ένα ασαφές σενάριο VBS με το όνομα «remcos.vbs», ScrubCrypt και το GuLoader PowerShell.

Μέσω του συστήματος προσθηκών διανέμεται επίσης ένας κλέφτης που συλλέγει πληροφορίες συστήματος και συλλέγει δεδομένα από φακέλους που συνδέονται με πορτοφόλια και εφαρμογές όπως Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (καταργήθηκε από τον Μάρτιο του 2023), Zcash, Foxmail και Telegram σε έναν απομακρυσμένο διακομιστή.

Η τεκμηριωμένη εξελιγμένη επιχείρηση επίθεσης χρησιμοποιεί πολλαπλά επίπεδα τακτικής συσκότισης και αποφυγής για τη διάδοση και εκτέλεση του VenomRAT μέσω του ScrubCrypt. Οι δράστες χρησιμοποιούν διάφορα μέσα, όπως μηνύματα ηλεκτρονικού ψαρέματος με κακόβουλα συνημμένα, ασαφή αρχεία σεναρίων και Guloader PowerShell, για να παραβιάσουν και να υπονομεύσουν συστήματα θυμάτων. Επιπλέον, η ανάπτυξη προσθηκών μέσω διαφορετικών ωφέλιμων φορτίων υπογραμμίζει την ευελιξία και την προσαρμοστικότητα της εκστρατείας επίθεσης.