Škodlivý softvér BatCloak

Analytici kybernetickej bezpečnosti odhalili sofistikovaný viacfázový útok využívajúci phishingové návnady s tematikou faktúry ako prostriedok na šírenie radu hrozivých softvérov vrátane VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT a zlodeja na krypto peňaženky.

Tieto podvodné e-maily obsahujú prílohy vo forme súborov Scalable Vector Graphics (SVG). Po otvorení tieto súbory spúšťajú sled infekcií. Pozoruhodné pri tejto operácii je využitie malvérového zmätku BatCloak a ScrubCrypt na šírenie malvéru prostredníctvom zahmlených dávkových skriptov.

Malvér BatCloak uľahčuje dodávanie užitočných dát v ďalšej fáze

BatCloak, ktorý si od konca roku 2022 môžu kúpiť iní aktéri hrozieb, pochádza z nástroja známeho ako Jlaive. Jeho hlavnou funkciou je uľahčiť nakladanie nákladu nasledujúceho stupňa spôsobom, ktorý sa vyhýba konvenčným metódam detekcie.

ScrubCrypt, pôvodne identifikovaný výskumníkmi v marci 2023 počas kryptojackingovej kampane organizovanej gangom 8220, sa podľa zistení Trend Micro z minulého roka považuje za jednu z iterácií BatCloak.

V najnovšej kampani, ktorú skúmali špecialisti na kybernetickú bezpečnosť, funguje súbor SVG ako kanál na nasadenie archívu ZIP obsahujúceho dávkový skript pravdepodobne vytvorený pomocou BatCloak. Tento skript potom rozbalí dávkový súbor ScrubCrypt, aby v konečnom dôsledku spustil Venom RAT po stanovení perzistencie na hostiteľovi a implementácii opatrení na obídenie AMSI a ETW ochrany.

Kyberzločinci nasadzujú množstvo malvérových hrozieb prostredníctvom BatCloak

Venom RAT , odnož Quasar RAT, umožňuje útočníkom zmocniť sa napadnutých systémov, zbierať citlivé dáta a vykonávať príkazy zo servera Command-and-Control (C2). Aj keď sa základná funkčnosť Venom RAT môže zdať jednoduchá, vytvára komunikačné kanály so serverom C2 na získanie ďalších doplnkov pre rôzne činnosti. Tieto zahŕňajú Venom RAT v6.0.3, ktorý je vybavený funkciami keylogger, ako aj NanoCore RAT, XWorm a Remcos RAT. Zásuvný modul Remcos RAT sa šíri z C2 VenomRAT tromi spôsobmi: zahmleným skriptom VBS s názvom „remcos.vbs“, ScrubCrypt a GuLoader PowerShell.

Prostredníctvom systému zásuvných modulov je tiež distribuovaný zlodej, ktorý zachytáva systémové informácie a sifónuje údaje z priečinkov prepojených s peňaženkami a aplikáciami, ako sú Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ukončené od marca 2023), Zcash, Foxmail a Telegram do vzdialený server.

Zdokumentovaná sofistikovaná útočná operácia využíva viaceré vrstvy taktiky zahmlievania a vyhýbania sa na šírenie a spustenie VenomRAT cez ScrubCrypt. Páchatelia využívajú rôzne prostriedky, vrátane phishingových e-mailov so škodlivými prílohami, zahmlených súborov skriptov a Guloader PowerShell, aby narušili a ohrozili systémy obetí. Okrem toho nasadenie doplnkov prostredníctvom rôznych užitočných zaťažení podčiarkuje všestrannosť a prispôsobivosť útočnej kampane.