BatCloak Malware

Analiștii de securitate cibernetică au descoperit un atac sofisticat în mai multe etape care folosește momeli de phishing pe bază de factură ca vehicul pentru distribuirea unei game de software amenințătoare, inclusiv VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT și un furt de criptomonede.

Aceste e-mailuri frauduloase conțin atașamente sub formă de fișiere Scalable Vector Graphics (SVG). Odată deschise, aceste fișiere declanșează o secvență de infecții. De remarcat în această operațiune este utilizarea motorului de ofuscare a malware-ului BatCloak și a ScrubCrypt pentru a disemina malware-ul prin scripturi batch ofucate.

Programul malware BatCloak facilitează livrarea încărcăturilor utile din etapa următoare

BatCloak, disponibil pentru cumpărare de către alți actori amenințări de la sfârșitul anului 2022, provine dintr-un instrument cunoscut sub numele de Jlaive. Funcția sa principală este de a facilita încărcarea unei sarcini utile în etapele ulterioare într-o manieră care eludează metodele convenționale de detectare.

ScrubCrypt, identificat inițial de cercetători în martie 2023 în timpul unei campanii de criptojacking orchestrată de 8220 Gang, se crede că este una dintre iterațiile BatCloak, conform descoperirilor Trend Micro anul trecut.

În cea mai recentă campanie analizată de specialiști în securitate cibernetică, fișierul SVG acționează ca un canal pentru implementarea unei arhive ZIP care conține un script de lot, probabil creat folosind BatCloak. Acest script despachetează apoi fișierul batch ScrubCrypt pentru a executa în cele din urmă Venom RAT după ce a stabilit persistența pe gazdă și a implementat măsuri pentru a ocoli protecțiile AMSI și ETW.

Criminalii cibernetici implementează numeroase amenințări malware prin BatCloak

O ramură a Quasar RAT , Venom RAT dă putere atacatorilor să pună mâna pe sisteme compromise, să colecteze date sensibile și să execute comenzi de pe un server de comandă și control (C2). Deși funcționalitatea de bază a Venom RAT poate părea simplă, stabilește canale de comunicare cu serverul C2 pentru a procura pluginuri suplimentare pentru diverse activități. Acestea includ Venom RAT v6.0.3, care este echipat cu capabilități de keylogger, precum și NanoCore RAT, XWorm și Remcos RAT. Plugin-ul Remcos RAT este diseminat din C2 al lui VenomRAT prin trei metode: un script VBS ofuscat numit „remcos.vbs”, ScrubCrypt și GuLoader PowerShell.

De asemenea, este distribuit prin intermediul sistemului de pluginuri un furt care scavenge informațiile de sistem și sifonează datele din foldere legate de portofele și aplicații precum Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (încetat din martie 2023), Zcash, Foxmail și Telegram către un server la distanță.

Operațiunea de atac sofisticată documentată folosește mai multe straturi de ofuscare și tactici de evaziune pentru a disemina și a executa VenomRAT prin ScrubCrypt. Făptuitorii folosesc diverse mijloace, inclusiv e-mailuri de phishing cu atașamente rău intenționate, fișiere de script ofucate și Guloader PowerShell, pentru a încălca și a compromite sistemele victimelor. În plus, implementarea pluginurilor prin diverse sarcini utile subliniază versatilitatea și adaptabilitatea campaniei de atac.