„BatCloak“ kenkėjiška programa

Kibernetinio saugumo analitikai atskleidė sudėtingą kelių etapų ataką, kurioje naudojami su sąskaitomis faktūromis susiję sukčiavimo masalai, kaip priemonė platinti daugybę grėsmingos programinės įrangos, įskaitant VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT ir kriptovaliutų sienelę.

Šiuose apgaulinguose el. laiškuose yra priedų SVG (Scalable Vector Graphics) failų pavidalu. Atidarius šiuos failus, atsiranda infekcijų seka. Pažymėtina, kad šioje operacijoje naudojamas „BatCloak“ kenkėjiškų programų užmaskavimo variklis ir „ScrubCrypt“, kad kenkėjiška programa būtų platinama naudojant užmaskuotus paketinius scenarijus.

Kenkėjiška „BatCloak“ programa palengvina naujos pakopos naudingų krovinių pristatymą

„BatCloak“, kurią nuo 2022 m. pabaigos gali įsigyti kiti grėsmės veikėjai, sukurta iš įrankio, žinomo kaip „Jlaive“. Jo pagrindinė funkcija yra palengvinti vėlesnės pakopos naudingosios apkrovos pakrovimą taip, kad būtų išvengta įprastinių aptikimo metodų.

Remiantis praėjusių metų Trend Micro išvadomis, manoma, kad „ScrubCrypt“, kurią tyrėjai iš pradžių nustatė 2023 m. kovo mėn. per kriptovaliutų keitimo kampaniją, kurią organizavo 8220 Gang.

Naujausioje kampanijoje, kurią išnagrinėjo kibernetinio saugumo specialistai, SVG failas veikia kaip kanalas, skirtas ZIP archyvui, kuriame yra paketinis scenarijus, greičiausiai sukurtas naudojant BatCloak. Tada šis scenarijus išpakuoja „ScrubCrypt“ paketinį failą, kad galiausiai būtų paleistas „Venom RAT“, nustačius pagrindinio kompiuterio patvarumą ir įgyvendinus priemones, skirtas apeiti AMSI ir ETW apsaugą.

Kibernetiniai nusikaltėliai per „BatCloak“ skleidžia daugybę kenkėjiškų programų

„ Quasar RAT“ atšaka, „Venom RAT“ suteikia užpuolikams galimybę užfiksuoti pažeistas sistemas, rinkti neskelbtinus duomenis ir vykdyti komandas iš komandų ir valdymo (C2) serverio. Nors pagrindinė „Venom RAT“ funkcija gali atrodyti nesudėtinga, ji sukuria ryšio kanalus su C2 serveriu, kad būtų galima įsigyti papildomų įskiepių įvairiai veiklai. Tai apima „Venom RAT v6.0.3“, kuriame yra klaviatūros įrašymo funkcijos, taip pat „NanoCore RAT“, „XWorm“ ir „Remcos RAT“. Remcos RAT įskiepis platinamas iš VenomRAT C2 trimis būdais: užmaskuotu VBS scenariju, pavadintu „remcos.vbs“, „ScrubCrypt“ ir „GuLoader PowerShell“.

Be to, per papildinių sistemą platinamas vagis, kuris renka sistemos informaciją ir siurbia duomenis iš aplankų, susietų su piniginėmis ir programomis, tokiomis kaip „Atomic Wallet“, „Electrum“, „Ethereum“, „Exodus“, „Jaxx Liberty“ (nutraukiama nuo 2023 m. kovo mėn.), „Zcash“, „Foxmail“ ir „Telegram“ nuotolinis serveris.

Dokumentais patvirtintoje sudėtingoje atakos operacijoje naudojami keli užmaskinimo ir vengimo taktikos sluoksniai, siekiant platinti ir vykdyti VenomRAT per ScrubCrypt. Nusikaltėliai naudoja įvairias priemones, įskaitant sukčiavimo el. laiškus su kenkėjiškais priedais, užmaskuotus scenarijaus failus ir „Guloader PowerShell“, kad pažeistų ir sukompromituotų aukų sistemas. Be to, papildinių diegimas naudojant įvairias naudingąsias apkrovas pabrėžia atakos kampanijos universalumą ir pritaikomumą.