Złośliwe oprogramowanie BatCloak

Analitycy cyberbezpieczeństwa odkryli wyrafinowany, wieloetapowy atak wykorzystujący przynęty phishingowe z motywem faktury jako narzędzie do rozpowszechniania szeregu groźnego oprogramowania, w tym VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT i narzędzie do kradzieży portfeli kryptograficznych.

Te fałszywe e-maile zawierają załączniki w postaci plików Scalable Vector Graphics (SVG). Po otwarciu pliki te powodują serię infekcji. W tej operacji godne uwagi jest wykorzystanie silnika zaciemniania złośliwego oprogramowania BatCloak i narzędzia ScrubCrypt do rozpowszechniania szkodliwego oprogramowania za pomocą zaciemnianych skryptów wsadowych.

Złośliwe oprogramowanie BatCloak ułatwia dostarczanie ładunków następnego etapu

BatCloak, dostępny do zakupu dla innych cyberprzestępców od końca 2022 r., wywodzi się z narzędzia znanego jako Jlaive. Jego główną funkcją jest ułatwienie załadunku ładunku w kolejnym etapie w sposób pozwalający na uniknięcie konwencjonalnych metod wykrywania.

Zgodnie z ustaleniami firmy Trend Micro z zeszłego roku uważa się, że ScrubCrypt, pierwotnie zidentyfikowany przez badaczy w marcu 2023 r. podczas kampanii cryptojackingu zorganizowanej przez gang 8220, jest jedną z wersji BatCloak.

W najnowszej kampanii analizowanej przez specjalistów ds. cyberbezpieczeństwa plik SVG służy jako kanał do wdrażania archiwum ZIP zawierającego skrypt wsadowy prawdopodobnie utworzony przy użyciu BatCloak. Skrypt ten następnie rozpakowuje plik wsadowy ScrubCrypt, aby ostatecznie uruchomić Venom RAT po ustanowieniu trwałości na hoście i zastosowaniu środków mających na celu ominięcie zabezpieczeń AMSI i ETW.

Cyberprzestępcy wdrażają liczne zagrożenia złośliwym oprogramowaniem za pośrednictwem BatCloak

Odgałęzienie Quasar RAT , Venom RAT umożliwia atakującym przejmowanie zainfekowanych systemów, zbieranie wrażliwych danych i wykonywanie poleceń z serwera dowodzenia i kontroli (C2). Chociaż podstawowa funkcjonalność Venom RAT może wydawać się prosta, ustanawia ona kanały komunikacji z serwerem C2 w celu uzyskania dodatkowych wtyczek do różnorodnych działań. Należą do nich Venom RAT v6.0.3, który jest wyposażony w funkcje keyloggera, a także NanoCore RAT, XWorm i Remcos RAT. Wtyczka Remcos RAT jest rozpowszechniana z C2 VenomRAT trzema metodami: zaciemnionym skryptem VBS o nazwie „remcos.vbs”, ScrubCrypt i GuLoader PowerShell.

Za pośrednictwem systemu wtyczek rozpowszechniany jest także złodziej, który wyłudza informacje o systemie i wysysa dane z folderów powiązanych z portfelami i aplikacjami, takimi jak Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (wycofane w marcu 2023 r.), Zcash, Foxmail i Telegram do zdalny serwer.

Udokumentowana wyrafinowana operacja ataku wykorzystuje wiele warstw taktyk zaciemniania i unikania w celu rozpowszechniania i wykonywania VenomRAT za pośrednictwem ScrubCrypt. Sprawcy wykorzystują różne środki, w tym wiadomości e-mail phishingowe ze złośliwymi załącznikami, zaciemnione pliki skryptów i Guloader PowerShell, aby włamać się i skompromitować systemy ofiar. Co więcej, wdrażanie wtyczek za pośrednictwem różnorodnych ładunków podkreśla wszechstronność i zdolność adaptacji kampanii ataków.