BatCloak skadelig programvare

Cybersikkerhetsanalytikere har avdekket et sofistikert flerfaset angrep ved å bruke phishing-lokker med fakturatema som redskap for å distribuere en rekke truende programvare, inkludert VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT og en krypto-lommebok.

Disse falske e-postene inneholder vedlegg i form av SVG-filer (Scalable Vector Graphics). Når de er åpnet, utløser disse filene en rekke infeksjoner. Bemerkelsesverdig i denne operasjonen er bruken av BatCloak malware obfuscation engine og ScrubCrypt for å spre skadelig programvare gjennom obfuscated batch scripts.

BatCloak Malware letter leveringen av nyttelast i neste trinn

BatCloak, tilgjengelig for kjøp av andre trusselaktører siden slutten av 2022, stammer fra et verktøy kjent som Jlaive. Hovedfunksjonen er å lette lasting av nyttelast i etterfølgende trinn på en måte som unngår konvensjonelle deteksjonsmetoder.

ScrubCrypt, opprinnelig identifisert av forskere i mars 2023 under en kryptojacking-kampanje orkestrert av 8220-gjengen, antas å være en av gjentakelsene av BatCloak, ifølge funnene fra Trend Micro i fjor.

I den siste kampanjen gransket av cybersikkerhetsspesialister, fungerer SVG-filen som en kanal for å distribuere et ZIP-arkiv som inneholder et batch-skript som sannsynligvis er laget med BatCloak. Dette skriptet pakker deretter ut ScrubCrypt-batchfilen for til slutt å kjøre Venom RAT etter å ha etablert utholdenhet på verten og implementert tiltak for å omgå AMSI- og ETW-beskyttelse.

Nettkriminelle distribuerer mange trusler mot skadelig programvare via BatCloak

En avlegger av Quasar RAT , Venom RAT gir angripere mulighet til å ta tak i kompromitterte systemer, høste sensitive data og utføre kommandoer fra en Command-and-Control-server (C2). Selv om Venom RATs kjernefunksjonalitet kan virke grei, etablerer den kommunikasjonskanaler med C2-serveren for å skaffe ekstra plugins for ulike aktiviteter. Disse omfatter Venom RAT v6.0.3, som er utstyrt med keylogger-funksjoner, samt NanoCore RAT, XWorm og Remcos RAT. Remcos RAT-plugin-modulen spres fra VenomRATs C2 gjennom tre metoder: et skjult VBS-skript kalt 'remcos.vbs', ScrubCrypt og GuLoader PowerShell.

Også distribuert via plugin-systemet er en stjeler som henter systeminformasjon og henter data fra mapper knyttet til lommebøker og applikasjoner som Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (avviklet fra mars 2023), Zcash, Foxmail og Telegram til en ekstern server.

Den dokumenterte sofistikerte angrepsoperasjonen bruker flere lag med tilslørings- og unnvikelsestaktikker for å spre og utføre VenomRAT via ScrubCrypt. Gjerningsmennene bruker ulike midler, inkludert phishing-e-poster med ondsinnede vedlegg, skjulte skriptfiler og Guloader PowerShell, for å bryte og kompromittere offersystemer. Videre understreker utplasseringen av plugins gjennom forskjellige nyttelaster allsidigheten og tilpasningsevnen til angrepskampanjen.