BatCloak pahavara

Küberjulgeoleku analüütikud on avastanud keeruka mitmefaasilise rünnaku, mis kasutab arveteemalisi andmepüügipeibutisi kui vahendit mitmesuguste ähvardavate tarkvarade väljastamiseks, sealhulgas VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT ja NanoCore RAT ja krüpto-targeting wallet.

Need petturlikud meilid sisaldavad manuseid skaleeritava vektorgraafika (SVG) failide kujul. Pärast avamist käivitavad need failid nakkuste jada. Selle toimingu puhul on tähelepanuväärne BatCloaki pahavara hägustamismootori ja ScrubCrypti kasutamine pahavara levitamiseks hägustatud pakkskriptide kaudu.

BatCloaki pahavara hõlbustab järgmise etapi kasulike koormate kohaletoimetamist

BatCloak, mida teised ohus osalejad saavad osta alates 2022. aasta lõpust, pärineb Jlaive'i nime all tuntud tööriistast. Selle põhiülesanne on hõlbustada järgmise etapi kasuliku koorma laadimist viisil, mis väldib tavapärastest tuvastamismeetoditest.

ScrubCrypt, mille teadlased tuvastasid algselt 2023. aasta märtsis 8220 Gang korraldatud krüptorahastamise kampaania käigus, arvatakse olevat üks BatCloaki iteratsioone, nagu näitas Trend Micro eelmisel aastal.

Viimases kampaanias, mille küberturvalisuse spetsialistid kontrollisid, toimib SVG-fail kanalina ZIP-arhiivi juurutamiseks, mis sisaldab tõenäoliselt BatCloaki abil loodud pakkskripti. See skript pakib seejärel lahti ScrubCrypt pakkfaili, et lõpuks käivitada Venom RAT pärast seda, kui on tuvastanud hostis püsivuse ja rakendanud meetmeid AMSI ja ETW kaitsetest möödahiilimiseks.

Küberkurjategijad juurutavad BatCloaki kaudu arvukalt pahavaraohte

Quasar RATi järglane Venom RAT annab ründajatele võimaluse haarata ohustatud süsteemid, koguda tundlikke andmeid ja täita käske Command-and-Control (C2) serverist. Kuigi Venom RATi põhifunktsioonid võivad tunduda lihtsad, loob see sidekanalid C2-serveriga, et hankida erinevate tegevuste jaoks täiendavaid pistikprogramme. Need hõlmavad Venom RAT v6.0.3, mis on varustatud klahvilogija võimalustega, aga ka NanoCore RAT, XWorm ja Remcos RAT. Remcos RAT-i pistikprogrammi levitatakse VenomRAT-i C2-st kolme meetodi abil: hägustatud VBS-skript nimega "remcos.vbs", ScrubCrypt ja GuLoader PowerShell.

Pistikprogrammi kaudu levitatakse ka varastajat, mis kogub süsteemiteavet ja sifoonib andmeid kaustadest, mis on seotud rahakottide ja rakendustega, nagu Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (lõpetatud alates 2023. aasta märtsist), Zcash, Foxmail ja Telegram. kaugserver.

Dokumenteeritud keerukas ründeoperatsioon kasutab VenomRATi levitamiseks ja käivitamiseks ScrubCrypti kaudu mitut hägustamise ja kõrvalehoidmise taktikat. Kurjategijad kasutavad ohvrisüsteemide rikkumiseks ja ohustamiseks mitmesuguseid vahendeid, sealhulgas pahatahtlike manustega andmepüügimeile, hägustatud skriptifaile ja Guloader PowerShelli. Lisaks rõhutab pistikprogrammide juurutamine erinevate kasulike koormuste kaudu ründekampaania mitmekülgsust ja kohanemisvõimet.