BatCloak मालवेयर
साइबरसेक्युरिटी विश्लेषकहरूले भेनोमर्याट , रेमकोसआरएटी , XWormRAT , नानोकोर र्याट र क्रिप्टोलेटिङ्ग वालेट सहित धम्की दिने सफ्टवेयरको एर्रे वितरण गर्नका लागि इनभ्वाइस-थीम्ड फिसिङ लुर्स प्रयोग गर्ने एक परिष्कृत बहु-चरणीय आक्रमण पत्ता लगाएका छन्।
यी धोखाधडी इमेलहरूले स्केलेबल भेक्टर ग्राफिक्स (SVG) फाइलहरूको रूपमा संलग्नकहरू समावेश गर्दछ। एक पटक खोलिएपछि, यी फाइलहरूले संक्रमणको क्रमलाई ट्रिगर गर्दछ। यस अपरेसनमा उल्लेखनीय ब्याच स्क्रिप्टहरू मार्फत मालवेयर फैलाउन BatCloak मालवेयर ओफस्केशन इन्जिन र ScrubCrypt को उपयोग हो।
ब्याटक्लोक मालवेयरले नेक्स्ट-स्टेज पेलोडहरूको डेलिभरीको सुविधा दिन्छ
BatCloak, 2022 को अन्त देखि अन्य खतरा अभिनेताहरु द्वारा खरीद को लागी उपलब्ध छ, Jlaive को रूप मा एक उपकरण बाट उत्पन्न हुन्छ। यसको मुख्य कार्य भनेको परम्परागत पत्ता लगाउने विधिहरू बेवास्ता गर्ने तरिकामा पछिल्लो चरणको पेलोडको लोडिङलाई सहज बनाउनु हो।
स्क्रबक्रिप्ट, 8220 Gang द्वारा आयोजित क्रिप्टोज्याकिंग अभियानको क्रममा मार्च 2023 मा अन्वेषकहरू द्वारा प्रारम्भिक रूपमा पहिचान गरिएको थियो, ट्रेन्ड माइक्रोले गत वर्षको खोज अनुसार ब्याटक्लोकको पुनरावृत्ति मध्ये एक हो भन्ने विश्वास गरिन्छ।
साइबरसेक्युरिटी विशेषज्ञहरूद्वारा छानबिन गरिएको सबैभन्दा भर्खरको अभियानमा, SVG फाइलले ब्याच स्क्रिप्ट समावेश गर्ने जिप अभिलेखलाई प्रयोग गर्न कन्ड्युटको रूपमा कार्य गर्दछ जुन BatCloak प्रयोग गरेर बनाइएको हुन सक्छ। यस स्क्रिप्टले होस्टमा दृढता स्थापना र AMSI र ETW सुरक्षाहरू बाइपास गर्न उपायहरू लागू गरेपछि अन्ततः Venom RAT कार्यान्वयन गर्न ScrubCrypt ब्याच फाइल अनप्याक गर्दछ।
साइबर अपराधीहरूले ब्याटक्लोक मार्फत धेरै मालवेयर धम्कीहरू प्रयोग गर्छन्
Quasar RAT को एक अफशूट, भेनम RAT ले आक्रमणकारीहरूलाई सम्झौता प्रणालीहरू समात्न, संवेदनशील डेटा काट्न, र कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट आदेशहरू कार्यान्वयन गर्न सक्षम बनाउँछ। यद्यपि Venom RAT को मुख्य कार्यक्षमता सीधा लाग्न सक्छ, यसले विभिन्न गतिविधिहरूको लागि थप प्लगइनहरू खरिद गर्न C2 सर्भरसँग सञ्चार च्यानलहरू स्थापना गर्दछ। यसले भेनम RAT v6.0.3 समावेश गर्दछ, जुन किलगर क्षमताहरू, साथै NanoCore RAT, XWorm, र Remcos RAT ले सुसज्जित छ। Remcos RAT प्लगइन VenomRAT को C2 बाट तीन विधिहरू मार्फत फैलिएको छ: 'remcos.vbs,' ScrubCrypt र GuLoader PowerShell नामको एउटा अस्पष्ट VBS स्क्रिप्ट।
प्लगइन प्रणाली मार्फत पनि वितरण गरिएको एक चोर हो जसले वालेटहरू र एटोमिक वालेट, इलेक्ट्रम, इथरियम, एक्सोडस, ज्याक्स लिबर्टी (मार्च 2023 सम्म बन्द), Zcash, Foxmail र टेलिग्राम जस्ता एपहरूसँग लिङ्क गरिएका फोल्डरहरूबाट प्रणाली जानकारी र साइफन्स डेटा स्क्याभेन्ज गर्छ। एक रिमोट सर्भर।
कागजात गरिएको परिष्कृत आक्रमण अपरेशनले स्क्रबक्रिप्ट मार्फत भेनोमआरएटी फैलाउन र कार्यान्वयन गर्न अस्पष्टता र चोरी रणनीतिहरूको बहु तहहरू प्रयोग गर्दछ। पीडक प्रणालीहरू उल्लङ्घन गर्न र सम्झौता गर्नका लागि अपराधीहरूले खराब एट्याचमेन्टहरू, अस्पष्ट स्क्रिप्ट फाइलहरू, र गुलोडर पावरशेल सहित फिसिङ इमेलहरू सहित विभिन्न माध्यमहरू प्रयोग गर्छन्। यसबाहेक, विविध पेलोडहरू मार्फत प्लगइनहरूको तैनातीले आक्रमण अभियानको बहुमुखी प्रतिभा र अनुकूलनतालाई रेखांकित गर्दछ।
