BatCloak skadlig programvara

Cybersäkerhetsanalytiker har avslöjat ett sofistikerat flerfasövergrepp som använder nätfiske med fakturatema som redskap för att distribuera en mängd hotfull programvara, inklusive VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT och en kryptoplånbok.

Dessa bedrägliga e-postmeddelanden innehåller bilagor i form av SVG-filer (Scalable Vector Graphics). När de öppnas utlöser dessa filer en sekvens av infektioner. Anmärkningsvärt i den här operationen är användningen av BatCloak- motorn för skadlig programvara och ScrubCrypt för att sprida skadlig programvara genom obfuskerade batch-skript.

BatCloak Malware underlättar leveransen av nästa stegs nyttolaster

BatCloak, tillgänglig för köp av andra hotaktörer sedan slutet av 2022, kommer från ett verktyg som kallas Jlaive. Dess huvudsakliga funktion är att underlätta lastningen av en nyttolast i efterföljande steg på ett sätt som undviker konventionella detekteringsmetoder.

ScrubCrypt, som ursprungligen identifierades av forskare i mars 2023 under en kryptojackningskampanj orkestrerad av 8220 Gang, tros vara en av upprepningarna av BatCloak, enligt upptäckten av Trend Micro förra året.

I den senaste kampanjen som granskats av cybersäkerhetsspecialister fungerar SVG-filen som en kanal för att distribuera ett ZIP-arkiv som innehåller ett batchskript som troligen har skapats med BatCloak. Det här skriptet packar sedan upp ScrubCrypt-batchfilen för att slutligen exekvera Venom RAT efter att ha etablerat persistens på värden och implementerat åtgärder för att kringgå AMSI- och ETW-skydd.

Cyberbrottslingar distribuerar flera hot mot skadlig programvara via BatCloak

En utlöpare av Quasar RAT , Venom RAT ger angripare möjlighet att ta tag i komprometterade system, samla in känslig data och utföra kommandon från en Command-and-Control-server (C2). Även om Venom RAT:s kärnfunktionalitet kan verka okomplicerad, etablerar den kommunikationskanaler med C2-servern för att skaffa ytterligare plugins för olika aktiviteter. Dessa omfattar Venom RAT v6.0.3, som är utrustad med keylogger-funktioner, såväl som NanoCore RAT, XWorm och Remcos RAT. Remcos RAT-plugin sprids från VenomRATs C2 genom tre metoder: ett obfuskerat VBS-skript som heter 'remcos.vbs', ScrubCrypt och GuLoader PowerShell.

Via plugin-systemet distribueras också en stjälare som rensar systeminformation och hämtar data från mappar kopplade till plånböcker och applikationer som Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (upphört i mars 2023), Zcash, Foxmail och Telegram till en fjärrserver.

Den dokumenterade sofistikerade attackoperationen använder flera lager av obfuskerings- och undanflyktstaktik för att sprida och exekvera VenomRAT via ScrubCrypt. Gärningsmännen använder olika sätt, inklusive nätfiske-e-postmeddelanden med skadliga bilagor, obfuskerade skriptfiler och Guloader PowerShell, för att bryta mot och äventyra offersystem. Dessutom understryker utplaceringen av plugins genom olika nyttolaster attackkampanjens mångsidighet och anpassningsförmåga.