BatCloak మాల్వేర్

వెనోమ్‌రాట్ , రెమ్‌కోస్‌రాట్ , ఎక్స్‌వార్మ్‌రాట్ , నానోకోర్ స్టీ రాట్ మరియు క్రైపోర్టింగ్ స్టెర్ వాలెట్ వంటి బెదిరింపు సాఫ్ట్‌వేర్‌ల శ్రేణిని పంపిణీ చేయడానికి వాహనంగా ఇన్‌వాయిస్-థీమ్ ఫిషింగ్ ఎరలను ఉపయోగించే అధునాతన బహుళ-దశల దాడిని సైబర్ సెక్యూరిటీ విశ్లేషకులు కనుగొన్నారు.

ఈ మోసపూరిత ఇమెయిల్‌లు స్కేలబుల్ వెక్టర్ గ్రాఫిక్స్ (SVG) ఫైల్‌ల రూపంలో జోడింపులను కలిగి ఉంటాయి. ఒకసారి తెరిచిన తర్వాత, ఈ ఫైల్‌లు అంటువ్యాధుల క్రమాన్ని ప్రేరేపిస్తాయి. అస్పష్టమైన బ్యాచ్ స్క్రిప్ట్‌ల ద్వారా మాల్వేర్‌ను వ్యాప్తి చేయడానికి BatCloak మాల్వేర్ అస్పష్టత ఇంజిన్ మరియు ScrubCrypt ఉపయోగించడం ఈ ఆపరేషన్‌లో గుర్తించదగినది.

BatCloak మాల్వేర్ నెక్స్ట్-స్టేజ్ పేలోడ్‌ల డెలివరీని సులభతరం చేస్తుంది

BatCloak, 2022 చివరి నుండి ఇతర ముప్పు నటులు కొనుగోలు చేయడానికి అందుబాటులో ఉంది, ఇది Jlaive అని పిలువబడే సాధనం నుండి ఉద్భవించింది. సాంప్రదాయిక గుర్తింపు పద్ధతులను తప్పించుకునే పద్ధతిలో తదుపరి-దశ పేలోడ్‌ను లోడ్ చేయడాన్ని సులభతరం చేయడం దీని ప్రధాన విధి.

8220 గ్యాంగ్ ఆర్కెస్ట్రేట్ చేసిన క్రిప్టోజాకింగ్ ప్రచారం సందర్భంగా 2023 మార్చిలో పరిశోధకులు గుర్తించిన ScrubCrypt, గత సంవత్సరం ట్రెండ్ మైక్రో కనుగొన్న ప్రకారం, BatCloak యొక్క పునరావృతాలలో ఒకటిగా విశ్వసించబడింది.

సైబర్‌ సెక్యూరిటీ నిపుణులచే పరిశీలించబడిన ఇటీవలి ప్రచారంలో, SVG ఫైల్ BatCloak ఉపయోగించి రూపొందించబడిన బ్యాచ్ స్క్రిప్ట్‌ను కలిగి ఉన్న జిప్ ఆర్కైవ్‌ను అమలు చేయడానికి ఒక మార్గంగా పనిచేస్తుంది. ఈ స్క్రిప్ట్ హోస్ట్‌పై పట్టుదలను ఏర్పరచిన తర్వాత మరియు AMSI మరియు ETW రక్షణలను దాటవేసే చర్యలను అమలు చేసిన తర్వాత చివరికి వెనం RATని అమలు చేయడానికి ScrubCrypt బ్యాచ్ ఫైల్‌ను అన్‌ప్యాక్ చేస్తుంది.

సైబర్ నేరస్థులు BatCloak ద్వారా అనేక మాల్వేర్ బెదిరింపులను అమలు చేస్తారు

Quasar RAT యొక్క శాఖ, వెనం RAT దాడి చేసేవారికి రాజీపడిన సిస్టమ్‌లను పట్టుకోవడానికి, సున్నితమైన డేటాను సేకరించడానికి మరియు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి ఆదేశాలను అమలు చేయడానికి అధికారం ఇస్తుంది. వెనం RAT యొక్క ప్రధాన కార్యాచరణ సూటిగా అనిపించినప్పటికీ, విభిన్న కార్యకలాపాల కోసం అదనపు ప్లగిన్‌లను సేకరించేందుకు ఇది C2 సర్వర్‌తో కమ్యూనికేషన్ ఛానెల్‌లను ఏర్పాటు చేస్తుంది. ఇవి వెనం RAT v6.0.3ని కలిగి ఉంటాయి, ఇది కీలాగర్ సామర్థ్యాలతో అలాగే నానోకోర్ RAT, XWorm మరియు Remcos RATతో అమర్చబడి ఉంటుంది. Remcos RAT ప్లగ్ఇన్ వెనోమ్‌రాట్ యొక్క C2 నుండి మూడు పద్ధతుల ద్వారా వ్యాప్తి చెందుతుంది: 'remcos.vbs,' ScrubCrypt మరియు GuLoader PowerShell అనే పేరులేని VBS స్క్రిప్ట్.

ప్లగ్ఇన్ సిస్టమ్ ద్వారా పంపిణీ చేయబడిన స్టీలర్ సిస్టమ్ సమాచారాన్ని స్కావెంజ్ చేస్తుంది మరియు అటామిక్ వాలెట్, ఎలెక్ట్రమ్, ఎథెరియం, ఎక్సోడస్, జాక్స్ లిబర్టీ (మార్చి 2023 నాటికి నిలిపివేయబడింది), Zcash, Foxmail మరియు టెలిగ్రామ్ వంటి వాలెట్‌లు మరియు అప్లికేషన్‌లతో లింక్ చేయబడిన ఫోల్డర్‌ల నుండి డేటాను siphons చేస్తుంది. రిమోట్ సర్వర్.

డాక్యుమెంట్ చేయబడిన అధునాతన దాడి ఆపరేషన్ ScrubCrypt ద్వారా VenomRATని వ్యాప్తి చేయడానికి మరియు అమలు చేయడానికి అనేక పొరల అస్పష్టత మరియు ఎగవేత వ్యూహాలను ఉపయోగిస్తుంది. బాధిత వ్యవస్థలను ఉల్లంఘించడానికి మరియు రాజీ చేయడానికి నేరస్థులు హానికరమైన జోడింపులతో కూడిన ఫిషింగ్ ఇమెయిల్‌లు, అస్పష్టమైన స్క్రిప్ట్ ఫైల్‌లు మరియు గులోడర్ పవర్‌షెల్‌తో సహా వివిధ మార్గాలను ఉపయోగించుకుంటారు. ఇంకా, విభిన్న పేలోడ్‌ల ద్వారా ప్లగిన్‌ల విస్తరణ దాడి ప్రచారం యొక్క బహుముఖ ప్రజ్ఞ మరియు అనుకూలతను నొక్కి చెబుతుంది.