BatCloak ļaunprātīga programmatūra

Kiberdrošības analītiķi ir atklājuši sarežģītu vairāku posmu uzbrukumu, izmantojot rēķinu tematiskos pikšķerēšanas vilinājumus kā līdzekli, lai izplatītu dažādas apdraudošas programmatūras, tostarp VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT un NanoCore RAT un cryptoing Wallet.

Šajos krāpnieciskajos e-pastos ir pielikumi mērogojamās vektorgrafikas (SVG) failu formā. Pēc atvēršanas šie faili izraisa infekciju secību. Ievērības cienīgs šajā darbībā ir BatCloak ļaunprātīgas programmatūras apmulsināšanas dzinēja un ScrubCrypt izmantošana, lai izplatītu ļaunprātīgu programmatūru, izmantojot aptumšotus pakešu skriptus.

BatCloak ļaunprogrammatūra atvieglo nākamā posma derīgo kravu piegādi

BatCloak, ko kopš 2022. gada beigām var iegādāties citi apdraudējuma dalībnieki, ir izveidots no rīka, kas pazīstams kā Jlaive. Tās galvenā funkcija ir atvieglot nākamā posma lietderīgās kravas iekraušanu tādā veidā, kas izvairās no tradicionālajām noteikšanas metodēm.

Tiek uzskatīts, ka ScrubCrypt, ko pētnieki sākotnēji identificēja 2023. gada martā šifrēšanas kampaņas laikā, ko organizēja 8220 Gang, ir viena no BatCloak atkārtojumiem, kā liecina Trend Micro pagājušajā gadā.

Pēdējā kampaņā, ko rūpīgi pārbaudīja kiberdrošības speciālisti, SVG fails darbojas kā kanāls ZIP arhīva izvietošanai, kurā ir pakešu skripts, kas, iespējams, izveidots, izmantojot BatCloak. Pēc tam šis skripts izpako ScrubCrypt pakešfailu, lai visbeidzot izpildītu Venom RAT pēc noturības noteikšanas resursdatorā un pasākumu ieviešanas, lai apietu AMSI un ETW aizsardzību.

Kibernoziedznieki izvieto daudzus ļaunprātīgas programmatūras draudus, izmantojot BatCloak

Quasar RAT atvase, Venom RAT dod iespēju uzbrucējiem satvert apdraudētas sistēmas, ievākt sensitīvus datus un izpildīt komandas no Command-and-Control (C2) servera. Lai gan Venom RAT galvenā funkcionalitāte var šķist vienkārša, tā izveido saziņas kanālus ar C2 serveri, lai iegūtu papildu spraudņus dažādām darbībām. Tie ietver Venom RAT v6.0.3, kas ir aprīkots ar taustiņu bloķēšanas iespējām, kā arī NanoCore RAT, XWorm un Remcos RAT. Remcos RAT spraudnis tiek izplatīts no VenomRAT C2, izmantojot trīs metodes: aptumšotu VBS skriptu ar nosaukumu “remcos.vbs”, ScrubCrypt un GuLoader PowerShell.

Izmantojot spraudņu sistēmu, tiek izplatīts arī zaglis, kas izņem sistēmas informāciju un izsūknē datus no mapēm, kas saistītas ar makiem un lietojumprogrammām, piemēram, Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (pārtraukta no 2023. gada marta), Zcash, Foxmail un Telegram. attālais serveris.

Dokumentētajā sarežģītajā uzbrukuma operācijā tiek izmantoti vairāki slēpšanas un izvairīšanās taktikas līmeņi, lai izplatītu un izpildītu VenomRAT, izmantojot ScrubCrypt. Vainīgie izmanto dažādus līdzekļus, tostarp pikšķerēšanas e-pastus ar ļaunprātīgiem pielikumiem, neskaidrus skriptu failus un Guloader PowerShell, lai pārkāptu un apdraudētu upuru sistēmas. Turklāt spraudņu izvietošana, izmantojot dažādas lietderīgās slodzes, uzsver uzbrukuma kampaņas daudzpusību un pielāgojamību.