Zlonamerna programska oprema BatCloak

Analitiki kibernetske varnosti so odkrili prefinjen večfazni napad, ki uporablja vabe za lažno predstavljanje na temo računov kot sredstvo za izdajanje niza grozeče programske opreme, vključno z VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT in krajcem, ki cilja na kripto denarnico.

Ta goljufiva e-poštna sporočila vsebujejo priloge v obliki datotek SVG (Scalable Vector Graphics). Ko so te datoteke odprte, sprožijo zaporedje okužb. Omembe vredna pri tej operaciji je uporaba mehanizma za zamegljevanje zlonamerne programske opreme BatCloak in ScrubCrypt za širjenje zlonamerne programske opreme prek zakritih paketnih skriptov.

Zlonamerna programska oprema BatCloak olajša dostavo uporabnih obremenitev naslednje stopnje

BatCloak, ki ga drugi akterji groženj lahko kupijo od konca leta 2022, izvira iz orodja, znanega kot Jlaive. Njegova glavna naloga je olajšati nalaganje tovora naslednje stopnje na način, ki se izogne običajnim metodam zaznavanja.

ScrubCrypt, ki so ga raziskovalci prvotno identificirali marca 2023 med kampanjo kriptovalut, ki jo je organizirala tolpa 8220 Gang, naj bi bil po lanskih ugotovitvah Trend Micro ena od ponovitev BatCloaka.

V najnovejši kampanji, ki so jo natančno preučili strokovnjaki za kibernetsko varnost, datoteka SVG deluje kot kanal za namestitev arhiva ZIP, ki vsebuje paketni skript, ki je verjetno izdelan z BatCloak. Ta skript nato razpakira paketno datoteko ScrubCrypt, da na koncu izvede Venom RAT po vzpostavitvi obstojnosti na gostitelju in izvajanju ukrepov za obhod zaščit AMSI in ETW.

Kibernetski kriminalci uporabljajo številne grožnje zlonamerne programske opreme prek BatCloak

Odcep Quasar RAT , Venom RAT, napadalcem omogoča, da prevzamejo ogrožene sisteme, zbirajo občutljive podatke in izvajajo ukaze iz strežnika za ukazovanje in nadzor (C2). Čeprav se morda zdi osnovna funkcionalnost Venom RAT-a enostavna, vzpostavi komunikacijske kanale s strežnikom C2 za pridobitev dodatnih vtičnikov za različne dejavnosti. Ti vključujejo Venom RAT v6.0.3, ki je opremljen z zmožnostmi zapisovalnika tipk, kot tudi NanoCore RAT, XWorm in Remcos RAT. Vtičnik Remcos RAT se razširja iz VenomRAT C2 s tremi metodami: zakritim skriptom VBS z imenom 'remcos.vbs,' ScrubCrypt in GuLoader PowerShell.

Prek sistema vtičnikov se distribuira tudi tat, ki pobira sistemske informacije in črpa podatke iz map, povezanih z denarnicami in aplikacijami, kot so Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ukinjeno od marca 2023), Zcash, Foxmail in Telegram v oddaljeni strežnik.

Dokumentirana sofisticirana operacija napada uporablja več plasti zakrivanja in taktike izogibanja za širjenje in izvajanje VenomRAT prek ScrubCrypt. Storilci uporabljajo različna sredstva, vključno z lažno e-pošto z zlonamernimi prilogami, zakritimi skriptnimi datotekami in Guloader PowerShell, da vdrejo v sisteme žrtev in jih ogrozijo. Poleg tega uvedba vtičnikov prek različnih obremenitev poudarja vsestranskost in prilagodljivost napadalne kampanje.