BatCloak Malware

A kiberbiztonsági elemzők kifinomult, többfázisú támadást tártak fel, amely számla témájú adathalász csalikat alkalmaz számos fenyegető szoftver, köztük a VenomRAT , a RemcosRAT , az XWormRAT , a NanoCore RAT és a crypto-targeting wallet.

Ezek a csaló e-mailek Scalable Vector Graphics (SVG) fájlok formájában tartalmaznak mellékleteket. Megnyitásuk után ezek a fájlok fertőzések sorozatát váltják ki. Említésre méltó ebben a műveletben a BatCloak malware obfuszkáló motor és a ScrubCrypt használata a rosszindulatú programok elhomályosított kötegelt szkripteken keresztüli terjesztésére.

A BatCloak rosszindulatú program megkönnyíti a következő fázisú rakományok kézbesítését

A BatCloak, amelyet 2022 vége óta vásárolhatnak meg más fenyegetések, a Jlaive néven ismert eszközből származik. Fő funkciója, hogy megkönnyítse a következő szakaszban lévő hasznos teher betöltését oly módon, hogy elkerülje a hagyományos észlelési módszereket.

A Trend Micro tavalyi megállapításai szerint a ScrubCrypt, amelyet eredetileg a kutatók 2023 márciusában azonosítottak a 8220 Gang által szervezett kriptográfiai kampány során, a BatCloak egyik iterációja.

A kiberbiztonsági szakértők által vizsgált legutóbbi kampányban az SVG-fájl csatornaként működik egy ZIP-archívum telepítéséhez, amely valószínűleg BatCloak használatával készült kötegelt szkriptet tartalmaz. Ez a szkript ezután kicsomagolja a ScrubCrypt kötegfájlt, hogy végül végrehajtsa a Venom RAT-ot, miután megállapította a tartósságot a gazdagépen, és végrehajtotta az AMSI és ETW védelmét megkerülő intézkedéseket.

A kiberbűnözők számos rosszindulatú programot telepítenek a BatCloakon keresztül

A Quasar RAT egyik mellékága, a Venom RAT felhatalmazza a támadókat, hogy megragadják a feltört rendszereket, begyűjtsék a bizalmas adatokat, és parancsokat hajtsanak végre egy Command-and-Control (C2) szerverről. Bár a Venom RAT alapvető funkciói egyszerűnek tűnhetnek, kommunikációs csatornákat hoz létre a C2 szerverrel, hogy további bővítményeket szerezzen be a különféle tevékenységekhez. Ezek közé tartozik a Venom RAT v6.0.3, amely keylogger képességekkel van felszerelve, valamint a NanoCore RAT, XWorm és Remcos RAT. A Remcos RAT beépülő modult a VenomRAT C2-jéből három módszerrel terjesztik: egy „remcos.vbs” nevű obfuszkált VBS-szkripten, a ScrubCrypt-en és a GuLoader PowerShell-en keresztül.

A bővítményrendszeren keresztül terjesztenek egy lopót is, amely begyűjti a rendszerinformációkat, és adatokat szippant be olyan pénztárcákkal és alkalmazásokkal összekapcsolt mappákból, mint az Atomic Wallet, az Electrum, az Ethereum, az Exodus, a Jaxx Liberty (2023 márciusától megszűnt), a Zcash, a Foxmail és a Telegram. távoli szerver.

A dokumentált kifinomult támadási művelet több rétegű elfedési és kijátszási taktikát alkalmaz a VenomRAT terjesztésére és végrehajtására a ScrubCrypt segítségével. Az elkövetők különféle eszközöket alkalmaznak, beleértve a rosszindulatú mellékleteket tartalmazó adathalász e-maileket, a homályos szkriptfájlokat és a Guloader PowerShellt, hogy feltörjék és feltörjék az áldozati rendszereket. Ezen túlmenően a bővítmények változatos hasznos terheléseken keresztüli telepítése aláhúzza a támadási kampány sokoldalúságát és alkalmazkodóképességét.