BatCloak Malware

Аналитичари за сајбер безбедност су открили софистицирани вишефазни напад који користи мамце за крађу идентитета са темом фактура као средство за издавање низа претећих софтвера, укључујући ВеномРАТ , РемцосРАТ , КСВормРАТ , НаноЦоре РАТ и криптовалутер за криптовалуте.

Ове лажне е-поруке садрже прилоге у облику датотека скалабилне векторске графике (СВГ). Једном отворене, ове датотеке покрећу низ инфекција. У овој операцији вредна пажње је коришћење БатЦлоак машине за замагљивање малвера и СцрубЦрипт-а за ширење малвера кроз замагљене групне скрипте.

Злонамерни софтвер БатЦлоак олакшава испоруку корисних оптерећења следеће фазе

БатЦлоак, доступан за куповину од стране других актера претњи од краја 2022. године, потиче од алата познатог као Јлаиве. Његова главна функција је да олакша утовар корисног терета следеће фазе на начин који избегава конвенционалне методе детекције.

Верује се да је СцрубЦрипт, који су истраживачи првобитно идентификовали у марту 2023. током кампање криптоџацкинга коју је организовала банда 8220, једна од итерација БатЦлоак-а, према открићима Тренд Мицро-а прошле године.

У најновијој кампањи коју су испитали стручњаци за сајбер безбедност, СВГ датотека делује као канал за постављање ЗИП архиве која садржи групну скрипту која је вероватно направљена помоћу БатЦлоак-а. Ова скрипта затим распакује СцрубЦрипт батцх датотеку да би на крају извршила Веном РАТ након успостављања постојаности на хосту и имплементације мера за заобилажење АМСИ и ЕТВ заштите.

Сајбер-криминалци примењују бројне претње од злонамерног софтвера преко БатЦлоак-а

Изданак Куасар РАТ-а , Веном РАТ омогућава нападачима да заузму компромитоване системе, прикупљају осетљиве податке и извршавају команде са сервера за команду и контролу (Ц2). Иако се основна функционалност Веном РАТ-а може чинити једноставном, он успоставља комуникационе канале са Ц2 сервером за набавку додатних додатака за различите активности. Они обухватају Веном РАТ в6.0.3, који је опремљен могућностима кеилоггера, као и НаноЦоре РАТ, КСВорм и Ремцос РАТ. Ремцос РАТ додатак се дистрибуира из ВеномРАТ-овог Ц2 кроз три методе: замагљена ВБС скрипта под називом 'ремцос.вбс', СцрубЦрипт и ГуЛоадер ПоверСхелл.

Такође се дистрибуира преко система додатака за крађу која прикупља системске информације и извлачи податке из фасцикли повезаних са новчаницима и апликацијама као што су Атомиц Валлет, Елецтрум, Етхереум, Екодус, Јакк Либерти (прекинут од марта 2023.), Зцасх, Фокмаил и Телеграм за удаљени сервер.

Документована софистицирана операција напада користи више слојева тактике прикривања и избегавања за ширење и извршавање ВеномРАТ-а преко СцрубЦрипт-а. Починиоци користе различита средства, укључујући пхисхинг е-поруке са злонамерним прилозима, замагљене датотеке скрипте и Гулоадер ПоверСхелл, да провале и компромитују системе жртава. Штавише, примена додатака кроз различита корисна оптерећења наглашава свестраност и прилагодљивост кампање напада.