Malware BatCloak

Gli analisti di sicurezza informatica hanno portato alla luce un sofisticato assalto in più fasi che utilizza esche di phishing a tema fattura come veicolo per distribuire una serie di software minacciosi, tra cui VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT e un ladro mirato ai portafogli crittografici.

Queste e-mail fraudolente contengono allegati sotto forma di file Scalable Vector Graphics (SVG). Una volta aperti, questi file attivano una sequenza di infezioni. Degno di nota in questa operazione è l'utilizzo del motore di offuscamento del malware BatCloak e ScrubCrypt per diffondere il malware attraverso script batch offuscati.

Il malware BatCloak facilita la consegna dei payload della fase successiva

BatCloak, disponibile per l'acquisto da parte di altri autori di minacce dalla fine del 2022, ha origine da uno strumento noto come Jlaive. La sua funzione principale è facilitare il caricamento di un carico utile della fase successiva in un modo che eluda i metodi di rilevamento convenzionali.

Si ritiene che ScrubCrypt, identificato inizialmente dai ricercatori nel marzo 2023 durante una campagna di cryptojacking orchestrata dalla banda 8220, sia una delle iterazioni di BatCloak, secondo i risultati di Trend Micro dell'anno scorso.

Nella campagna più recente esaminata dagli specialisti della sicurezza informatica, il file SVG funge da canale per la distribuzione di un archivio ZIP contenente uno script batch probabilmente realizzato utilizzando BatCloak. Questo script decomprime quindi il file batch ScrubCrypt per eseguire infine Venom RAT dopo aver stabilito la persistenza sull'host e implementato misure per aggirare le protezioni AMSI ed ETW.

I criminali informatici distribuiscono numerose minacce malware tramite BatCloak

Derivante del Quasar RAT , il Venom RAT consente agli aggressori di impossessarsi di sistemi compromessi, raccogliere dati sensibili ed eseguire comandi da un server Command-and-Control (C2). Sebbene la funzionalità principale di Venom RAT possa sembrare semplice, stabilisce canali di comunicazione con il server C2 per procurarsi plug-in aggiuntivi per diverse attività. Questi includono Venom RAT v6.0.3, che è dotato di funzionalità keylogger, nonché NanoCore RAT, XWorm e Remcos RAT. Il plugin Remcos RAT viene diffuso dal C2 di VenomRAT attraverso tre metodi: uno script VBS offuscato denominato "remcos.vbs", ScrubCrypt e GuLoader PowerShell.

Tramite il sistema di plugin viene distribuito anche un ladro che recupera informazioni di sistema e sottrae dati da cartelle collegate a portafogli e applicazioni come Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (fuori produzione da marzo 2023), Zcash, Foxmail e Telegram per un server remoto.

La sofisticata operazione di attacco documentata impiega più livelli di offuscamento e tattiche di evasione per diffondere ed eseguire VenomRAT tramite ScrubCrypt. Gli autori utilizzano vari mezzi, tra cui e-mail di phishing con allegati dannosi, file di script offuscati e Guloader PowerShell, per violare e compromettere i sistemi delle vittime. Inoltre, l’implementazione di plugin attraverso diversi payload sottolinea la versatilità e l’adattabilità della campagna di attacco.