BatCloak Malware

Os analistas de segurança cibernética descobriram um ataque sofisticado em várias fases, empregando iscas de phishing com tema de fatura como veículo para distribuir uma série de softwares ameaçadores, incluindo o VenomRAT, o RemcosRAT, o XWormRAT, o NanoCore RAT e um ladrão de carteiras de moedas digitais

Esses e-mails fraudulentos contêm anexos na forma de arquivos Scalable Vector Graphics (SVG). Uma vez abertos, esses arquivos desencadeiam uma sequência de infecções. Digno de nota nesta operação é a utilização do mecanismo de ofuscação de malware BatCloak e ScrubCrypt para disseminar o malware por meio de scripts em lote ofuscados.

O BatCloak Malware Facilita a Entrega de Cargas Uteis de Próximo Estágio

O BatCloak, disponível para compra por outros agentes de ameaças desde o final de 2022, origina-se de uma ferramenta conhecida como Jlaive. Sua principal função é facilitar o carregamento de uma carga útil de estágio subsequente de uma maneira que evite os métodos convencionais de detecção.

Acredita-se que ScrubCrypt, inicialmente identificado por pesquisadores em março de 2023 durante uma campanha de cryptojacking orquestrada pela Gangue 8220, seja uma das iterações do BatCloak, de acordo com descobertas da Trend Micro no ano passado.

Na campanha mais recente examinada por especialistas em segurança cibernética, o arquivo SVG atua como um canal para a implantação de um arquivo ZIP contendo um script em lote provavelmente criado usando BatCloak. Este script então descompacta o arquivo em lote ScrubCrypt para executar o Venom RAT após estabelecer persistência no host e implementar medidas para ignorar as proteções AMSI e ETW.

Os Cibercriminosos Implantam Inúmeras Ameaças de Malware via BatCloak

Uma ramificação do Quasar RAT, o Venom RAT permite que invasores controlem sistemas comprometidos, coletem dados confidenciais e executem comandos de um servidor de Comando e Controle (C2). Embora a funcionalidade principal do Venom RAT possa parecer simples, ele estabelece canais de comunicação com o servidor C2 para adquirir plug-ins adicionais para diversas atividades. Eles abrangem Venom RAT v6.0.3, que é equipado com recursos de keylogger, bem como NanoCore RAT, XWorm e Remcos RAT. O plugin Remcos RAT é disseminado do C2 do VenomRAT por meio de três métodos: um script VBS ofuscado chamado ‘remcos.vbs’, ScrubCrypt e o GuLoader PowerShell.

Também distribuído por meio do sistema de plug-ins está um ladrão que coleta informações do sistema e desvia dados de pastas vinculadas a carteiras e aplicativos como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (descontinuado em março de 2023), Zcash, Foxmail e Telegram para um servidor remoto.

A sofisticada operação de ataque documentada emprega múltiplas camadas de táticas de ofuscação e evasão para disseminar e executar VenomRAT via ScrubCrypt. Os perpetradores utilizam vários meios, incluindo e-mails de phishing com anexos maliciosos, arquivos de script ofuscados e Guloader PowerShell, para violar e comprometer os sistemas das vítimas. Além disso, a implantação de plug-ins por meio de diversas cargas ressalta a versatilidade e adaptabilidade da campanha de ataque.