BatCloak Malware

साइबर सुरक्षा विश्लेषकों ने एक परिष्कृत बहु-चरणीय हमले का पता लगाया है, जिसमें इनवॉइस-थीम वाले फ़िशिंग लालच को वाहन के रूप में इस्तेमाल किया जाता है, जिसमें वेनोमआरएटी , रेमकोसआरएटी , एक्सवॉर्मआरएटी , नैनोकोर आरएटी और क्रिप्टो वॉलेट-लक्ष्यीकरण चोर सहित कई खतरनाक सॉफ़्टवेयर वितरित किए जाते हैं।

इन धोखाधड़ी वाले ईमेल में स्केलेबल वेक्टर ग्राफिक्स (SVG) फ़ाइलों के रूप में अटैचमेंट होते हैं। एक बार खोले जाने पर, ये फ़ाइलें संक्रमणों के एक क्रम को ट्रिगर करती हैं। इस ऑपरेशन में उल्लेखनीय बात यह है कि बैटक्लोक मैलवेयर ऑबफस्केशन इंजन और स्क्रबक्रिप्ट का उपयोग अस्पष्ट बैच स्क्रिप्ट के माध्यम से मैलवेयर को फैलाने के लिए किया जाता है।

बैटक्लोक मैलवेयर अगले चरण के पेलोड की डिलीवरी को आसान बनाता है

बैटक्लोक, जो 2022 के अंत से अन्य ख़तरनाक अभिनेताओं द्वारा खरीदे जाने के लिए उपलब्ध है, जेलाइव नामक एक उपकरण से उत्पन्न होता है। इसका मुख्य कार्य पारंपरिक पहचान विधियों से बचने के तरीके से बाद के चरण के पेलोड को लोड करना है।

स्क्रबक्रिप्ट, जिसे पहली बार शोधकर्ताओं ने मार्च 2023 में 8220 गैंग द्वारा संचालित एक क्रिप्टोजैकिंग अभियान के दौरान पहचाना था, पिछले साल ट्रेंड माइक्रो के निष्कर्षों के अनुसार, बैटक्लोक के पुनरावृत्तियों में से एक माना जाता है।

साइबर सुरक्षा विशेषज्ञों द्वारा जांचे गए सबसे हालिया अभियान में, SVG फ़ाइल ZIP संग्रह को तैनात करने के लिए एक माध्यम के रूप में कार्य करती है जिसमें संभवतः BatCloak का उपयोग करके तैयार की गई बैच स्क्रिप्ट होती है। यह स्क्रिप्ट तब होस्ट पर दृढ़ता स्थापित करने और AMSI और ETW सुरक्षा को बायपास करने के उपायों को लागू करने के बाद अंततः Venom RAT को निष्पादित करने के लिए ScrubCrypt बैच फ़ाइल को अनपैक करती है।

साइबर अपराधी बैटक्लोक के माध्यम से कई मैलवेयर खतरों को तैनात करते हैं

क्वासर आरएटी की एक शाखा, वेनम आरएटी हमलावरों को समझौता किए गए सिस्टम पर कब्ज़ा करने, संवेदनशील डेटा को इकट्ठा करने और कमांड-एंड-कंट्रोल (C2) सर्वर से कमांड निष्पादित करने की शक्ति प्रदान करती है। हालाँकि वेनम आरएटी की मुख्य कार्यक्षमता सीधी लग सकती है, लेकिन यह विभिन्न गतिविधियों के लिए अतिरिक्त प्लगइन प्राप्त करने के लिए C2 सर्वर के साथ संचार चैनल स्थापित करता है। इनमें वेनम आरएटी v6.0.3 शामिल है, जो कीलॉगर क्षमताओं से लैस है, साथ ही नैनोकोर आरएटी, एक्सवर्म और रेमकोस आरएटी भी शामिल हैं। रेमकोस आरएटी प्लगइन को वेनम आरएटी के C2 से तीन तरीकों से प्रसारित किया जाता है: 'remcos.vbs' नामक एक अस्पष्ट VBS स्क्रिप्ट, स्क्रबक्रिप्ट और गुलोडर पावरशेल।

प्लगइन सिस्टम के माध्यम से एक चोर भी वितरित किया जाता है जो सिस्टम की जानकारी को चुरा लेता है और एटॉमिक वॉलेट, इलेक्ट्रम, एथेरियम, एक्सोडस, जैक्स लिबर्टी (मार्च 2023 तक बंद), ज़ेकैश, फॉक्समेल और टेलीग्राम जैसे वॉलेट और एप्लिकेशन से जुड़े फ़ोल्डरों से डेटा को रिमोट सर्वर पर ले जाता है।

दस्तावेज़ों में दर्ज परिष्कृत हमले के ऑपरेशन में स्क्रबक्रिप्ट के माध्यम से वेनमआरएटी को प्रसारित करने और निष्पादित करने के लिए अस्पष्टता और बचाव की कई परतों का इस्तेमाल किया जाता है। अपराधी पीड़ित सिस्टम में सेंध लगाने और उसे नुकसान पहुँचाने के लिए दुर्भावनापूर्ण अनुलग्नकों वाले फ़िशिंग ईमेल, अस्पष्ट स्क्रिप्ट फ़ाइलें और गुलोडर पॉवरशेल सहित विभिन्न साधनों का उपयोग करते हैं। इसके अलावा, विविध पेलोड के माध्यम से प्लगइन्स की तैनाती हमले के अभियान की बहुमुखी प्रतिभा और अनुकूलनशीलता को रेखांकित करती है।