תוכנת זדונית של BatCloak

אנליסטים של אבטחת סייבר חשפו תקיפה מתוחכמת רב-שלבית תוך שימוש בפתיונות דיוג בנושאי חשבוניות ככלי להפצת מערך תוכנות מאיימות, כולל VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT וארנק קריפטו.

הודעות דוא"ל הונאה אלה מכילות קבצים מצורפים בצורה של קבצי וקטור גרפיקה מדרגיים (SVG). לאחר פתיחתם, קבצים אלה מפעילים רצף של זיהומים. ראוי לציון בפעולה זו הוא השימוש במנוע ערפול התוכנות הזדוניות BatCloak ו-ScrubCrypt כדי להפיץ את התוכנה הזדונית באמצעות סקריפטים אצווה מעורפלים.

התוכנה הזדונית של BatCloak מקלה על אספקת מטענים בשלב הבא

BatCloak, זמין לרכישה על ידי שחקני איומים אחרים מאז סוף 2022, מקורו בכלי המכונה Jlaive. תפקידו העיקרי הוא להקל על הטעינה של מטען בשלבים הבאים באופן שמתחמק משיטות זיהוי קונבנציונליות.

ScrubCrypt, שזוהה תחילה על ידי חוקרים במרץ 2023 במהלך מסע קריפטו-jacking שתוזמן על ידי כנופיית 8220, מאמינים כי היא אחת האיטרציות של BatCloak, לפי ממצאי Trend Micro בשנה שעברה.

במסע הפרסום האחרון שנבדק על ידי מומחי אבטחת סייבר, קובץ ה-SVG משמש כצינור לפריסת ארכיון ZIP המכיל סקריפט אצווה שכנראה נוצר באמצעות BatCloak. סקריפט זה פורק את קובץ האצווה ScrubCrypt כדי לבצע בסופו של דבר את Venom RAT לאחר ביסוס התמדה על המארח והטמעת אמצעים לעקוף הגנות AMSI ו-ETW.

פושעי סייבר פורסים איומים רבים על תוכנות זדוניות באמצעות BatCloak

שלוחה של ה- Quasar RAT , ה- Venom RAT מאפשר לתוקפים לאחוז במערכות שנפגעו, לאסוף נתונים רגישים ולבצע פקודות משרת Command-and-Control (C2). למרות שפונקציונליות הליבה של Venom RAT עשויה להיראות פשוטה, היא מקימה ערוצי תקשורת עם שרת C2 כדי להשיג תוספים נוספים לפעילויות מגוונות. אלה כוללים את Venom RAT v6.0.3, המצויד ביכולות Keylogger, כמו גם את NanoCore RAT, XWorm ו- Remcos RAT. תוסף Remcos RAT מופץ מ-C2 של VenomRAT באמצעות שלוש שיטות: סקריפט VBS מעורפל בשם 'remcos.vbs', ScrubCrypt וה- GuLoader PowerShell.

כמו כן, מופץ באמצעות מערכת הפלאגין גניבה השואבת מידע מערכת ומשאבת נתונים מתיקיות המקושרות לארנקים ויישומים כגון Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (הופסק החל ממארס 2023), Zcash, Foxmail ו-Telegram. שרת מרוחק.

פעולת התקיפה המתוחכמת המתועדת משתמשת במספר שכבות של טקטיקות ערפול והתחמקות כדי להפיץ ולבצע את VenomRAT באמצעות ScrubCrypt. העבריינים משתמשים באמצעים שונים, כולל דיוג מיילים עם קבצים מצורפים זדוניים, קבצי סקריפט מעורפלים ו-Guloader PowerShell, כדי לפרוץ ולסכן מערכות קורבנות. יתר על כן, פריסת תוספים באמצעות עומסים מגוונים מדגישה את הרבגוניות וההתאמה של מסע התקיפה.