Perisian Hasad BatCloak

Penganalisis keselamatan siber telah menemui serangan berbilang fasa yang canggih menggunakan gewang pancingan data bertemakan invois sebagai kenderaan untuk mengeluarkan pelbagai perisian yang mengancam, termasuk VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT dan pencuri penyasaran dompet crypto.

E-mel penipuan ini mengandungi lampiran dalam bentuk fail Grafik Vektor Berskala (SVG). Setelah dibuka, fail ini mencetuskan urutan jangkitan. Yang patut diberi perhatian dalam operasi ini ialah penggunaan enjin pengeliruan perisian hasad BatCloak dan ScrubCrypt untuk menyebarkan perisian hasad melalui skrip kelompok yang dikaburkan.

Perisian Hasad BatCloak Memudahkan Penghantaran Muatan Peringkat Seterusnya

BatCloak, tersedia untuk dibeli oleh pelakon ancaman lain sejak lewat 2022, berasal daripada alat yang dikenali sebagai Jlaive. Fungsi utamanya adalah untuk memudahkan pemuatan muatan peringkat seterusnya dengan cara yang mengelak daripada kaedah pengesanan konvensional.

ScrubCrypt, yang pada mulanya dikenal pasti oleh penyelidik pada Mac 2023 semasa kempen cryptojacking yang didalangi oleh Geng 8220, dipercayai sebagai salah satu lelaran BatCloak, seperti penemuan oleh Trend Micro tahun lepas.

Dalam kempen terbaharu yang diteliti oleh pakar keselamatan siber, fail SVG bertindak sebagai saluran untuk menggunakan arkib ZIP yang mengandungi skrip kelompok yang mungkin dibuat menggunakan BatCloak. Skrip ini kemudiannya membongkar fail kelompok ScrubCrypt untuk akhirnya melaksanakan Venom RAT selepas mewujudkan kegigihan pada hos dan melaksanakan langkah untuk memintas perlindungan AMSI dan ETW.

Penjenayah Siber Menyebarkan Pelbagai Ancaman Peribadi melalui BatCloak

Cabang Quasar RAT , Venom RAT memberi kuasa kepada penyerang untuk mengambil alih sistem yang terjejas, menuai data sensitif dan melaksanakan arahan daripada pelayan Command-and-Control (C2). Walaupun fungsi teras Venom RAT mungkin kelihatan mudah, ia mewujudkan saluran komunikasi dengan pelayan C2 untuk mendapatkan pemalam tambahan untuk pelbagai aktiviti. Ini merangkumi Venom RAT v6.0.3, yang dilengkapi dengan keupayaan keylogger, serta NanoCore RAT, XWorm dan Remcos RAT. Pemalam Remcos RAT disebarkan daripada C2 VenomRAT melalui tiga kaedah: skrip VBS yang dikelirukan bernama 'remcos.vbs,' ScrubCrypt dan GuLoader PowerShell.

Turut diedarkan melalui sistem pemalam ialah pencuri yang mencari maklumat sistem dan menyedut data daripada folder yang dipautkan dengan dompet dan aplikasi seperti Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (dihentikan pada Mac 2023), Zcash, Foxmail dan Telegram untuk pelayan jauh.

Operasi serangan canggih yang didokumenkan menggunakan pelbagai lapisan taktik pengelakan dan pengelakan untuk menyebarkan dan melaksanakan VenomRAT melalui ScrubCrypt. Pelaku menggunakan pelbagai cara, termasuk e-mel pancingan data dengan lampiran berniat jahat, fail skrip yang dikelirukan dan Guloader PowerShell, untuk melanggar dan menjejaskan sistem mangsa. Tambahan pula, penggunaan pemalam melalui muatan yang pelbagai menekankan kepelbagaian dan kebolehsuaian kempen serangan.