Malware BatCloak

Analistët e sigurisë kibernetike kanë zbuluar një sulm të sofistikuar me shumë faza duke përdorur joshje phishing me temë faturash si mjet për shpërndarjen e një sërë softuerësh kërcënues, duke përfshirë VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT- tartergeto dhe një portofol kriptor.

Këto emaile mashtruese përmbajnë bashkëngjitje në formën e skedarëve të grafikës vektoriale të shkallëzueshme (SVG). Pasi të hapen, këta skedarë shkaktojnë një sekuencë infeksionesh. Vlen të përmendet në këtë operacion përdorimi i motorit të errësimit të malware BatCloak dhe ScrubCrypt për të shpërndarë malware përmes skripteve të grumbulluara të turbullta.

Malware BatCloak Lehtëson dërgimin e ngarkesave në fazën tjetër

BatCloak, i disponueshëm për blerje nga aktorë të tjerë kërcënimi që nga fundi i vitit 2022, buron nga një mjet i njohur si Jlaive. Funksioni i tij kryesor është të lehtësojë ngarkimin e ngarkesës së një faze të mëvonshme në një mënyrë që shmang metodat konvencionale të zbulimit.

ScrubCrypt, i identifikuar fillimisht nga studiuesit në mars 2023 gjatë një fushate të kriptojacking të orkestruar nga Banda 8220, besohet të jetë një nga përsëritjet e BatCloak, sipas gjetjeve nga Trend Micro vitin e kaluar.

Në fushatën më të fundit të shqyrtuar nga specialistë të sigurisë kibernetike, skedari SVG vepron si një kanal për vendosjen e një arkivi ZIP që përmban një skript grupi të mundshëm të krijuar duke përdorur BatCloak. Ky skript më pas shpaketon skedarin e grupit ScrubCrypt për të ekzekutuar përfundimisht Venom RAT pasi vendos këmbënguljen në host dhe zbaton masat për të anashkaluar mbrojtjen AMSI dhe ETW.

Kriminelët kibernetikë vendosin kërcënime të shumta malware përmes BatCloak

Një degë e Quasar RAT , Venom RAT fuqizon sulmuesit të kontrollojnë sistemet e komprometuara, të mbledhin të dhëna të ndjeshme dhe të ekzekutojnë komanda nga një server Command-and-Control (C2). Megjithëse funksionaliteti kryesor i Venom RAT mund të duket i drejtpërdrejtë, ai krijon kanale komunikimi me serverin C2 për të blerë shtojca shtesë për aktivitete të ndryshme. Këto përfshijnë Venom RAT v6.0.3, i cili është i pajisur me aftësi keylogger, si dhe NanoCore RAT, XWorm dhe Remcos RAT. Shtojca Remcos RAT shpërndahet nga C2 e VenomRAT përmes tre metodave: një skripti VBS i turbullt i quajtur 'remcos.vbs,' ScrubCrypt dhe GuLoader PowerShell.

Shpërndarë gjithashtu nëpërmjet sistemit të shtojcave është një vjedhës që fshin informacionin e sistemit dhe sifon të dhënat nga dosjet e lidhura me kuletat dhe aplikacionet si Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ndërprerë që nga marsi 2023), Zcash, Foxmail dhe Telegram në një server në distancë.

Operacioni i sofistikuar i dokumentuar i sulmit përdor shtresa të shumta të taktikave të turbullimit dhe evazionit për të shpërndarë dhe ekzekutuar VenomRAT nëpërmjet ScrubCrypt. Autorët përdorin mjete të ndryshme, duke përfshirë emailet e phishing me bashkëngjitje me qëllim të keq, skedarët e skripteve të turbullta dhe Guloader PowerShell, për të shkelur dhe komprometuar sistemet e viktimave. Për më tepër, vendosja e shtojcave përmes ngarkesave të ndryshme nënvizon shkathtësinë dhe përshtatshmërinë e fushatës së sulmit.