Вредоносное ПО BatCloak

Аналитики кибербезопасности раскрыли сложную многоэтапную атаку с использованием фишинговых приманок на тему счетов в качестве средства распространения множества угрожающих программ, в том числе VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT и похитителя криптовалютных кошельков.

Эти мошеннические электронные письма содержат вложения в виде файлов масштабируемой векторной графики (SVG). После открытия эти файлы вызывают серию заражений. Примечательным в этой операции является использование механизма обфускации вредоносных программ BatCloak и ScrubCrypt для распространения вредоносного ПО с помощью запутанных пакетных сценариев.

Вредоносное ПО BatCloak облегчает доставку полезных данных следующего этапа

BatCloak, доступный для покупки другими злоумышленниками с конца 2022 года, создан на основе инструмента, известного как Jlaive. Его основная функция — облегчить загрузку полезной нагрузки последующей ступени таким образом, чтобы избежать обычных методов обнаружения.

ScrubCrypt, первоначально обнаруженный исследователями в марте 2023 года во время кампании криптоджекинга, организованной бандой 8220, считается одной из итераций BatCloak, согласно выводам Trend Micro, полученным в прошлом году.

В последней кампании, тщательно изученной специалистами по кибербезопасности, файл SVG выступал в качестве канала для развертывания ZIP-архива, содержащего пакетный сценарий, вероятно, созданный с помощью BatCloak. Затем этот сценарий распаковывает пакетный файл ScrubCrypt, чтобы в конечном итоге выполнить Venom RAT после установления персистентности на хосте и реализации мер по обходу защиты AMSI и ETW.

Киберпреступники развертывают многочисленные вредоносные программы с помощью BatCloak

Являясь ответвлением Quasar RAT , Venom RAT позволяет злоумышленникам захватывать скомпрометированные системы, собирать конфиденциальные данные и выполнять команды с сервера управления и контроля (C2). Хотя основные функции Venom RAT могут показаться простыми, он устанавливает каналы связи с сервером C2 для приобретения дополнительных плагинов для различных действий. К ним относятся Venom RAT v6.0.3, оснащенный возможностями кейлоггера, а также NanoCore RAT, XWorm и Remcos RAT. Плагин Remcos RAT распространяется из C2 VenomRAT тремя способами: запутанным сценарием VBS с именем remcos.vbs, ScrubCrypt и GuLoader PowerShell.

Через систему плагинов также распространяется вор, который собирает системную информацию и перекачивает данные из папок, связанных с кошельками и приложениями, такими как Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (прекращено в марте 2023 года), Zcash, Foxmail и Telegram, в удаленный сервер.

Задокументированная сложная операция атаки использует несколько уровней запутывания и тактики уклонения для распространения и выполнения VenomRAT через ScrubCrypt. Злоумышленники используют различные средства, в том числе фишинговые электронные письма с вредоносными вложениями, запутанные файлы сценариев и Guloader PowerShell, для взлома и компрометации систем жертвы. Более того, развертывание плагинов с помощью различных полезных нагрузок подчеркивает универсальность и адаптируемость кампании атаки.