بدافزار BatCloak
تحلیلگران امنیت سایبری یک حمله چند مرحلهای پیچیده را کشف کردهاند که از فریبهای فیشینگ با مضمون فاکتور به عنوان وسیلهای برای توزیع مجموعهای از نرمافزارهای تهدیدآمیز، از جمله VenomRAT ، RemcosRAT ، XWormRAT ، NanoCore RAT.tartergeto و یک کیف پول رمزنگاری شده استفاده میکند.
این ایمیلهای جعلی حاوی پیوستهایی در قالب فایلهای گرافیک برداری مقیاسپذیر (SVG) هستند. پس از باز شدن، این فایل ها باعث ایجاد توالی عفونت می شوند. نکته قابل توجه در این عملیات استفاده از موتور مبهم بدافزار BatCloak و ScrubCrypt برای انتشار بدافزار از طریق اسکریپت های دسته ای مبهم است.
بدافزار BatCloak تحویل بارهای مرحله بعدی را تسهیل می کند
BatCloak که از اواخر سال 2022 برای سایر بازیگران تهدید در دسترس است، از ابزاری به نام Jlaive سرچشمه می گیرد. کارکرد اصلی آن تسهیل بارگذاری یک محموله مرحله بعدی به نحوی است که از روشهای تشخیص مرسوم طفره میرود.
طبق یافتههای Trend Micro در سال گذشته، ScrubCrypt، که ابتدا توسط محققان در مارس 2023 در طی یک کمپین سرقت رمزنگاری سازماندهی شده توسط 8220 Gang شناسایی شد، گمان میرود که یکی از تکرارهای BatCloak باشد.
در جدیدترین کمپین که توسط متخصصان امنیت سایبری مورد بررسی قرار گرفت، فایل SVG به عنوان مجرای برای استقرار یک آرشیو ZIP حاوی یک اسکریپت دستهای عمل میکند که احتمالاً با استفاده از BatCloak ساخته شده است. سپس این اسکریپت فایل دستهای ScrubCrypt را باز میکند تا در نهایت Venom RAT را پس از ایجاد پایداری روی میزبان و اجرای اقدامات برای دور زدن حفاظتهای AMSI و ETW اجرا کند.
مجرمان سایبری تهدیدات بدافزار متعددی را از طریق BatCloak به کار می گیرند
Venom RAT که شاخهای از Quasar RAT است، به مهاجمان این امکان را میدهد تا سیستمهای در معرض خطر را کنترل کنند، دادههای حساس را جمعآوری کنند و دستورات را از یک سرور Command-and-Control (C2) اجرا کنند. اگرچه عملکرد اصلی Venom RAT ممکن است ساده به نظر برسد، اما کانالهای ارتباطی با سرور C2 ایجاد میکند تا پلاگینهای اضافی را برای فعالیتهای مختلف تهیه کند. اینها شامل Venom RAT نسخه 6.0.3 است که به قابلیت های کی لاگر مجهز است و همچنین NanoCore RAT، XWorm و Remcos RAT. پلاگین Remcos RAT از طریق C2 VenomRAT از طریق سه روش منتشر می شود: یک اسکریپت مبهم VBS به نام "remcos.vbs"، "ScrubCrypt" و " GuLoader PowerShell".
همچنین از طریق سیستم پلاگین دزدی توزیع شده است که اطلاعات سیستم را جمع آوری کرده و داده ها را از پوشه های مرتبط با کیف پول ها و برنامه هایی مانند Atomic Wallet، Electrum، Ethereum، Exodus، Jaxx Liberty (از مارس 2023 متوقف شده)، Zcash، Foxmail و Telegram سیفون می کند. یک سرور راه دور
عملیات حمله پیچیده مستند از چندین لایه تاکتیک های مبهم سازی و فرار برای انتشار و اجرای VenomRAT از طریق ScrubCrypt استفاده می کند. مجرمان از ابزارهای مختلفی از جمله ایمیل های فیشینگ با پیوست های مخرب، فایل های اسکریپت مبهم و Guloader PowerShell برای نقض و به خطر انداختن سیستم های قربانی استفاده می کنند. علاوه بر این، استقرار پلاگین ها از طریق بارهای مختلف بر تطبیق پذیری و سازگاری کمپین حمله تاکید می کند.