BatCloak-malware

Cybersecurity-analisten hebben een geavanceerde, meerfasige aanval ontdekt, waarbij gebruik wordt gemaakt van phishing-lokmiddelen met factuurthema als middel voor het verspreiden van een reeks bedreigende software, waaronder de VenomRAT , de RemcosRAT , de XWormRAT , de NanoCore RAT en een crypto-portemonnee-diefstal.

Deze frauduleuze e-mails bevatten bijlagen in de vorm van Scalable Vector Graphics (SVG)-bestanden. Eenmaal geopend veroorzaken deze bestanden een reeks infecties. Opmerkelijk bij deze operatie is het gebruik van de BatCloak- malwareverduisteringsengine en ScrubCrypt om de malware te verspreiden via versluierde batchscripts.

De BatCloak-malware vergemakkelijkt de levering van payloads in de volgende fase

BatCloak, sinds eind 2022 te koop voor andere bedreigingsactoren, is afkomstig van een tool die bekend staat als Jlaive. De belangrijkste functie ervan is het vergemakkelijken van het laden van een lading in de volgende fase op een manier die conventionele detectiemethoden omzeilt.

ScrubCrypt, aanvankelijk geïdentificeerd door onderzoekers in maart 2023 tijdens een cryptojacking-campagne georkestreerd door de 8220 Gang, wordt verondersteld een van de iteraties van BatCloak te zijn, volgens bevindingen van Trend Micro vorig jaar.

In de meest recente campagne die cybersecurityspecialisten onder de loep hebben genomen, fungeert het SVG-bestand als kanaal voor het implementeren van een ZIP-archief met daarin een batchscript dat waarschijnlijk met BatCloak is gemaakt. Dit script pakt vervolgens het ScrubCrypt-batchbestand uit om uiteindelijk Venom RAT uit te voeren na het tot stand brengen van persistentie op de host en het implementeren van maatregelen om AMSI- en ETW-beveiligingen te omzeilen.

Cybercriminelen implementeren talloze malwarebedreigingen via BatCloak

De Venom RAT is een uitloper van de Quasar RAT en stelt aanvallers in staat gecompromitteerde systemen in handen te krijgen, gevoelige gegevens te verzamelen en opdrachten uit te voeren vanaf een Command-and-Control (C2)-server. Hoewel de kernfunctionaliteit van de Venom RAT eenvoudig lijkt, brengt het communicatiekanalen met de C2-server tot stand om extra plug-ins voor diverse activiteiten aan te schaffen. Deze omvatten Venom RAT v6.0.3, die is uitgerust met keylogger-mogelijkheden, evenals de NanoCore RAT, XWorm en Remcos RAT. De Remcos RAT-plug-in wordt via drie methoden vanuit VenomRAT's C2 verspreid: een versluierd VBS-script met de naam 'remcos.vbs', ScrubCrypt en de GuLoader PowerShell.

Ook gedistribueerd via het plug-insysteem is een stealer die systeeminformatie opruimt en gegevens overhevelt uit mappen die zijn gekoppeld aan portemonnees en applicaties zoals Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (stopgezet vanaf maart 2023), Zcash, Foxmail en Telegram naar een externe server.

De gedocumenteerde geavanceerde aanvalsoperatie maakt gebruik van meerdere lagen van verduisterings- en ontwijkingstactieken om VenomRAT via ScrubCrypt te verspreiden en uit te voeren. De daders gebruiken verschillende middelen, waaronder phishing-e-mails met kwaadaardige bijlagen, versluierde scriptbestanden en Guloader PowerShell, om de systemen van slachtoffers te overtreden en te compromitteren. Bovendien onderstreept de inzet van plug-ins via diverse payloads de veelzijdigheid en het aanpassingsvermogen van de aanvalscampagne.