بدافزار BatCloak

تحلیلگران امنیت سایبری یک حمله چند مرحله‌ای پیچیده را کشف کرده‌اند که از فریب‌های فیشینگ با مضمون فاکتور به عنوان وسیله‌ای برای توزیع مجموعه‌ای از نرم‌افزارهای تهدیدآمیز، از جمله VenomRAT ، RemcosRAT ، XWormRAT ، NanoCore RAT.tartergeto و یک کیف پول رمزنگاری شده استفاده می‌کند.

این ایمیل‌های جعلی حاوی پیوست‌هایی در قالب فایل‌های گرافیک برداری مقیاس‌پذیر (SVG) هستند. پس از باز شدن، این فایل ها باعث ایجاد توالی عفونت می شوند. نکته قابل توجه در این عملیات استفاده از موتور مبهم بدافزار BatCloak و ScrubCrypt برای انتشار بدافزار از طریق اسکریپت های دسته ای مبهم است.

بدافزار BatCloak تحویل بارهای مرحله بعدی را تسهیل می کند

BatCloak که از اواخر سال 2022 برای سایر بازیگران تهدید در دسترس است، از ابزاری به نام Jlaive سرچشمه می گیرد. کارکرد اصلی آن تسهیل بارگذاری یک محموله مرحله بعدی به نحوی است که از روش‌های تشخیص مرسوم طفره می‌رود.

طبق یافته‌های Trend Micro در سال گذشته، ScrubCrypt، که ابتدا توسط محققان در مارس 2023 در طی یک کمپین سرقت رمزنگاری سازمان‌دهی شده توسط 8220 Gang شناسایی شد، گمان می‌رود که یکی از تکرارهای BatCloak باشد.

در جدیدترین کمپین که توسط متخصصان امنیت سایبری مورد بررسی قرار گرفت، فایل SVG به عنوان مجرای برای استقرار یک آرشیو ZIP حاوی یک اسکریپت دسته‌ای عمل می‌کند که احتمالاً با استفاده از BatCloak ساخته شده است. سپس این اسکریپت فایل دسته‌ای ScrubCrypt را باز می‌کند تا در نهایت Venom RAT را پس از ایجاد پایداری روی میزبان و اجرای اقدامات برای دور زدن حفاظت‌های AMSI و ETW اجرا کند.

مجرمان سایبری تهدیدات بدافزار متعددی را از طریق BatCloak به کار می گیرند

Venom RAT که شاخه‌ای از Quasar RAT است، به مهاجمان این امکان را می‌دهد تا سیستم‌های در معرض خطر را کنترل کنند، داده‌های حساس را جمع‌آوری کنند و دستورات را از یک سرور Command-and-Control (C2) اجرا کنند. اگرچه عملکرد اصلی Venom RAT ممکن است ساده به نظر برسد، اما کانال‌های ارتباطی با سرور C2 ایجاد می‌کند تا پلاگین‌های اضافی را برای فعالیت‌های مختلف تهیه کند. اینها شامل Venom RAT نسخه 6.0.3 است که به قابلیت های کی لاگر مجهز است و همچنین NanoCore RAT، XWorm و Remcos RAT. پلاگین Remcos RAT از طریق C2 VenomRAT از طریق سه روش منتشر می شود: یک اسکریپت مبهم VBS به نام "remcos.vbs"، "ScrubCrypt" و " GuLoader PowerShell".

همچنین از طریق سیستم پلاگین دزدی توزیع شده است که اطلاعات سیستم را جمع آوری کرده و داده ها را از پوشه های مرتبط با کیف پول ها و برنامه هایی مانند Atomic Wallet، Electrum، Ethereum، Exodus، Jaxx Liberty (از مارس 2023 متوقف شده)، Zcash، Foxmail و Telegram سیفون می کند. یک سرور راه دور

عملیات حمله پیچیده مستند از چندین لایه تاکتیک های مبهم سازی و فرار برای انتشار و اجرای VenomRAT از طریق ScrubCrypt استفاده می کند. مجرمان از ابزارهای مختلفی از جمله ایمیل های فیشینگ با پیوست های مخرب، فایل های اسکریپت مبهم و Guloader PowerShell برای نقض و به خطر انداختن سیستم های قربانی استفاده می کنند. علاوه بر این، استقرار پلاگین ها از طریق بارهای مختلف بر تطبیق پذیری و سازگاری کمپین حمله تاکید می کند.