BatCloak Malware

Analitičari kibernetičke sigurnosti otkrili su sofisticirani višefazni napad koji koristi mamce za krađu identiteta na temu faktura kao sredstvo za distribuciju niza prijetećeg softvera, uključujući VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT i kradljivca ciljanog kripto novčanika.

Ove lažne e-poruke sadrže privitke u obliku datoteka Scalable Vector Graphics (SVG). Jednom otvorene te datoteke pokreću niz infekcija. U ovoj operaciji vrijedi spomenuti korištenje BatCloak mehanizma za maskiranje zlonamjernog softvera i ScrubCrypta za širenje zlonamjernog softvera putem maskiranih skupnih skripti.

Zlonamjerni softver BatCloak olakšava isporuku korisnih sadržaja sljedeće faze

BatCloak, dostupan za kupnju drugim prijetnjama od kraja 2022., potječe iz alata poznatog kao Jlaive. Njegova glavna funkcija je olakšati učitavanje korisnog tereta sljedećeg stupnja na način koji izbjegava konvencionalne metode detekcije.

ScrubCrypt, koji su istraživači prvobitno identificirali u ožujku 2023. tijekom kampanje kriptopljačke koju je orkestrirala banda 8220, vjeruje se da je jedna od iteracija BatCloaka, prema prošlogodišnjim nalazima Trend Microa.

U posljednjoj kampanji koju su pomno ispitali stručnjaci za kibernetičku sigurnost, SVG datoteka djeluje kao kanal za postavljanje ZIP arhive koja sadrži paketnu skriptu vjerojatno izrađenu pomoću BatCloaka. Ova skripta zatim raspakira ScrubCrypt batch datoteku kako bi konačno izvršila Venom RAT nakon uspostavljanja postojanosti na glavnom računalu i provedbe mjera za zaobilaženje AMSI i ETW zaštite.

Kibernetički kriminalci postavljaju brojne prijetnje zlonamjernim softverom putem BatCloaka

Ogranak Quasar RAT-a , Venom RAT omogućuje napadačima da se domognu kompromitiranih sustava, prikupe osjetljive podatke i izvrše naredbe s Command-and-Control (C2) poslužitelja. Iako se osnovna funkcionalnost Venom RAT-a može činiti jednostavnom, on uspostavlja komunikacijske kanale s C2 poslužiteljem kako bi nabavio dodatne dodatke za različite aktivnosti. Oni obuhvaćaju Venom RAT v6.0.3, koji je opremljen mogućnostima keyloggera, kao i NanoCore RAT, XWorm i Remcos RAT. Dodatak Remcos RAT širi se iz VenomRAT-ovog C2 putem tri metode: maskirane VBS skripte pod nazivom 'remcos.vbs,' ScrubCrypt i GuLoader PowerShell.

Preko sustava dodataka također se distribuira kradljivac koji sakuplja informacije o sustavu i crpi podatke iz mapa povezanih s novčanicima i aplikacijama kao što su Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ukinut od ožujka 2023.), Zcash, Foxmail i Telegram u udaljeni poslužitelj.

Dokumentirana sofisticirana operacija napada koristi višestruke slojeve maskiranja i taktike izbjegavanja za širenje i izvršenje VenomRAT-a putem ScrubCrypta. Počinitelji koriste različita sredstva, uključujući phishing e-poštu sa zlonamjernim privicima, zamagljene skriptne datoteke i Guloader PowerShell, kako bi probili i kompromitirali žrtvene sustave. Nadalje, implementacija dodataka kroz različita korisna opterećenja naglašava svestranost i prilagodljivost kampanje napada.