BatCloak haittaohjelma

Kyberturvallisuusanalyytikot ovat löytäneet hienostuneen monivaiheisen hyökkäyksen, jossa käytetään laskuteemaisia tietojenkalasteluuistimia välineenä useiden uhkaavien ohjelmistojen jakeluun, mukaan lukien VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT ja krypto-targeting wallet.

Nämä vilpilliset sähköpostit sisältävät liitteitä Scalable Vector Graphics (SVG) -tiedostoina. Kun tiedostot avataan, ne käynnistävät sarjan infektioita. Huomionarvoista tässä operaatiossa on BatCloak- haittaohjelmien hämärtymismoottorin ja ScrubCryptin käyttö haittaohjelmien levittämiseen hämärtyneiden eräkomentosarjojen kautta.

BatCloak-haittaohjelma helpottaa seuraavan vaiheen hyötykuormien toimittamista

BatCloak, joka on ollut muiden uhkatoimijoiden ostettavissa vuoden 2022 lopusta lähtien, on peräisin työkalusta, joka tunnetaan nimellä Jlaive. Sen päätehtävänä on helpottaa seuraavan vaiheen hyötykuorman lataamista tavalla, joka välttelee tavanomaisia ilmaisumenetelmiä.

ScrubCryptin, jonka tutkijat tunnistivat alun perin maaliskuussa 2023 8220 Gangin järjestämän kryptojacking-kampanjan aikana, uskotaan olevan yksi BatCloakin iteraatioista Trend Micron viime vuoden havaintojen mukaan.

Viimeisimmässä kyberturvallisuusasiantuntijoiden tarkastamassa kampanjassa SVG-tiedosto toimii kanavana ZIP-arkiston käyttöönottamiseksi, joka sisältää todennäköisesti BatCloakilla luodun komentosarjan. Tämä komentosarja purkaa sitten ScrubCrypt-kotatiedoston ja suorittaa lopulta Venom RAT:n sen jälkeen, kun isäntäkoneessa on pysyvyys ja toimenpiteitä on toteutettu AMSI- ja ETW-suojausten ohittamiseksi.

Kyberrikolliset ottavat käyttöön lukuisia haittaohjelmauhkia BatCloakin kautta

Quasar RAT :n sivuhaara Venom RAT antaa hyökkääjille mahdollisuuden tarttua vaarantuneisiin järjestelmiin, kerätä arkaluontoisia tietoja ja suorittaa komentoja Command-and-Control (C2) -palvelimelta. Vaikka Venom RATin ydintoiminto saattaa tuntua yksinkertaiselta, se muodostaa viestintäkanavia C2-palvelimen kanssa lisälaajennusten hankkimiseksi eri toimintoihin. Näihin kuuluvat Venom RAT v6.0.3, joka on varustettu keylogger-ominaisuuksilla, sekä NanoCore RAT, XWorm ja Remcos RAT. Remcos RAT -laajennus levitetään VenomRATin C2:sta kolmella tavalla: hämärä VBS-skripti nimeltä "remcos.vbs", ScrubCrypt ja GuLoader PowerShell.

Plugin-järjestelmän kautta jaetaan myös varastaja, joka kerää järjestelmätietoja ja kerää tiedot kansioista, jotka on yhdistetty lompakoihin ja sovelluksiin, kuten Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (poistettu maaliskuussa 2023), Zcash, Foxmail ja Telegram. etäpalvelin.

Dokumentoitu hienostunut hyökkäysoperaatio käyttää useita hämärä- ja kiertotaktiikoita levittääkseen ja suorittaakseen VenomRAT:n ScrubCryptin kautta. Tekijät käyttävät erilaisia keinoja, mukaan lukien haitallisia liitteitä sisältäviä tietojenkalasteluviestejä, hämärtyneitä komentosarjatiedostoja ja Guloader PowerShellia, murtaakseen ja vaarantaakseen uhrijärjestelmiä. Lisäksi laajennusten käyttöönotto erilaisten hyötykuormien kautta korostaa hyökkäyskampanjan monipuolisuutta ja mukautuvuutta.