BatCloak ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਵੇਨੋਮਰਾਟ , ਰੀਮਕੋਸਰੈਟ , ਐਕਸਵਰਮਰਾਟ , ਨੈਨੋਕੋਰ ਆਰਏਟੀ ਅਤੇ ਇੱਕ ਕ੍ਰਿਪਟੋ-ਟਾਰਜ ਵਾਲਿਟ ਸਮੇਤ ਧਮਕੀ ਭਰੇ ਸੌਫਟਵੇਅਰ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਵੰਡਣ ਲਈ ਵਾਹਨ ਵਜੋਂ ਚਲਾਨ-ਥੀਮ ਵਾਲੀ ਫਿਸ਼ਿੰਗ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਇੱਕ ਸੂਝਵਾਨ ਬਹੁ-ਪੜਾਵੀ ਹਮਲੇ ਦਾ ਪਤਾ ਲਗਾਇਆ ਹੈ।

ਇਹਨਾਂ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਈਮੇਲਾਂ ਵਿੱਚ ਸਕੇਲੇਬਲ ਵੈਕਟਰ ਗ੍ਰਾਫਿਕਸ (SVG) ਫਾਈਲਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਅਟੈਚਮੈਂਟ ਸ਼ਾਮਲ ਹਨ। ਇੱਕ ਵਾਰ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਫਾਈਲਾਂ ਲਾਗਾਂ ਦਾ ਇੱਕ ਕ੍ਰਮ ਸ਼ੁਰੂ ਕਰਦੀਆਂ ਹਨ। ਇਸ ਓਪਰੇਸ਼ਨ ਵਿੱਚ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਬੈਟਕਲੌਕ ਮਾਲਵੇਅਰ ਓਬਸਕੇਸ਼ਨ ਇੰਜਣ ਅਤੇ ਸਕ੍ਰਬਕ੍ਰਿਪਟ ਦੀ ਵਰਤੋਂ ਗੁੰਝਲਦਾਰ ਬੈਚ ਸਕ੍ਰਿਪਟਾਂ ਦੁਆਰਾ ਮਾਲਵੇਅਰ ਨੂੰ ਫੈਲਾਉਣ ਲਈ।

BatCloak ਮਾਲਵੇਅਰ ਨੈਕਸਟ-ਸਟੇਜ ਪੇਲੋਡਸ ਦੀ ਡਿਲਿਵਰੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ

BatCloak, 2022 ਦੇ ਅਖੀਰ ਤੋਂ ਦੂਜੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ ਖਰੀਦ ਲਈ ਉਪਲਬਧ ਹੈ, ਇੱਕ ਟੂਲ ਤੋਂ ਉਤਪੰਨ ਹੋਇਆ ਹੈ ਜਿਸਨੂੰ Jlaive ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਦਾ ਮੁੱਖ ਕੰਮ ਪਰੰਪਰਾਗਤ ਖੋਜ ਤਰੀਕਿਆਂ ਤੋਂ ਬਚਣ ਵਾਲੇ ਢੰਗ ਨਾਲ ਬਾਅਦ ਦੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਲੋਡ ਕਰਨ ਦੀ ਸਹੂਲਤ ਦੇਣਾ ਹੈ।

ਸਕ੍ਰਬਕ੍ਰਿਪਟ, ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਮਾਰਚ 2023 ਵਿੱਚ 8220 ਗੈਂਗ ਦੁਆਰਾ ਆਯੋਜਿਤ ਇੱਕ ਕ੍ਰਿਪਟੋਜੈਕਿੰਗ ਮੁਹਿੰਮ ਦੌਰਾਨ ਪਛਾਣਿਆ ਗਿਆ ਸੀ, ਨੂੰ ਬੈਟਕਲੌਕ ਦੇ ਦੁਹਰਾਓ ਵਿੱਚੋਂ ਇੱਕ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਪਿਛਲੇ ਸਾਲ ਟ੍ਰੈਂਡ ਮਾਈਕ੍ਰੋ ਦੁਆਰਾ ਖੋਜਾਂ ਅਨੁਸਾਰ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੁਆਰਾ ਜਾਂਚ ਕੀਤੀ ਗਈ ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਮੁਹਿੰਮ ਵਿੱਚ, SVG ਫਾਈਲ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਇੱਕ ਕੰਡਿਊਟ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਬੈਚ ਸਕ੍ਰਿਪਟ ਦੀ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ BatCloak ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਸਕ੍ਰਿਪਟ ਫਿਰ ਹੋਸਟ 'ਤੇ ਦ੍ਰਿੜਤਾ ਸਥਾਪਤ ਕਰਨ ਅਤੇ AMSI ਅਤੇ ETW ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੇ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਤੋਂ ਬਾਅਦ ਅੰਤ ਵਿੱਚ ਵੇਨਮ RAT ਨੂੰ ਚਲਾਉਣ ਲਈ ScrubCrypt ਬੈਚ ਫਾਈਲ ਨੂੰ ਅਨਪੈਕ ਕਰਦੀ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧੀ BatCloak ਦੁਆਰਾ ਬਹੁਤ ਸਾਰੇ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਦੇ ਹਨ

Quasar RAT ਦਾ ਇੱਕ ਸ਼ਾਖਾ, Venom RAT ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਨੂੰ ਫੜਨ, ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਕਟਾਈ ਕਰਨ, ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸ਼ਕਤੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ ਵੇਨਮ RAT ਦੀ ਮੁੱਖ ਕਾਰਜਕੁਸ਼ਲਤਾ ਸਿੱਧੀ ਲੱਗ ਸਕਦੀ ਹੈ, ਇਹ ਵਿਭਿੰਨ ਗਤੀਵਿਧੀਆਂ ਲਈ ਵਾਧੂ ਪਲੱਗਇਨ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ C2 ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਚੈਨਲ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਵੇਨਮ RAT v6.0.3 ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹਨ, ਜੋ ਕੀਲੌਗਰ ਸਮਰੱਥਾਵਾਂ ਦੇ ਨਾਲ-ਨਾਲ NanoCore RAT, XWorm, ਅਤੇ Remcos RAT ਨਾਲ ਲੈਸ ਹੈ। Remcos RAT ਪਲੱਗਇਨ ਨੂੰ VenomRAT ਦੇ C2 ਤੋਂ ਤਿੰਨ ਤਰੀਕਿਆਂ ਰਾਹੀਂ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਗਿਆ ਹੈ: 'remcos.vbs,' ScrubCrypt ਅਤੇ GuLoader PowerShell ਨਾਮਕ ਇੱਕ ਅਸ਼ਲੀਲ VBS ਸਕ੍ਰਿਪਟ।

ਪਲੱਗਇਨ ਸਿਸਟਮ ਦੁਆਰਾ ਵੀ ਵੰਡਿਆ ਗਿਆ ਇੱਕ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਹੈ ਜੋ ਪਰਮਾਣੂ ਵਾਲਿਟ, ਇਲੈਕਟ੍ਰਮ, ਈਥਰਿਅਮ, ਐਕਸੋਡਸ, ਜੈਕਸ ਲਿਬਰਟੀ (ਮਾਰਚ 2023 ਤੋਂ ਬੰਦ), Zcash, Foxmail ਅਤੇ ਟੈਲੀਗ੍ਰਾਮ ਵਰਗੇ ਵਾਲਿਟ ਅਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨਾਲ ਜੁੜੇ ਫੋਲਡਰਾਂ ਤੋਂ ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਅਤੇ ਸਾਈਫਨ ਡੇਟਾ ਨੂੰ ਖੁਰਦ-ਬੁਰਦ ਕਰਦਾ ਹੈ। ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ.

ਦਸਤਾਵੇਜ਼ੀ ਸੂਝਵਾਨ ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ScrubCrypt ਦੁਆਰਾ VenomRAT ਨੂੰ ਫੈਲਾਉਣ ਅਤੇ ਚਲਾਉਣ ਲਈ ਗੁੰਝਲਦਾਰ ਅਤੇ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਦੀਆਂ ਕਈ ਪਰਤਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੀ ਹੈ। ਪੀੜਤ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਅਤੇ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਅਪਰਾਧੀ ਵੱਖ-ਵੱਖ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਖਤਰਨਾਕ ਅਟੈਚਮੈਂਟਾਂ, ਅਸਪਸ਼ਟ ਸਕ੍ਰਿਪਟ ਫਾਈਲਾਂ, ਅਤੇ ਗੁਲੋਡਰ ਪਾਵਰਸ਼ੇਲ ਸਮੇਤ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਸ਼ਾਮਲ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਵਿਭਿੰਨ ਪੇਲੋਡਸ ਦੁਆਰਾ ਪਲੱਗਇਨਾਂ ਦੀ ਤੈਨਾਤੀ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦੀ ਬਹੁਪੱਖਤਾ ਅਤੇ ਅਨੁਕੂਲਤਾ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ।