มัลแวร์ BatCloak

นักวิเคราะห์ความปลอดภัยทางไซเบอร์ได้ค้นพบการโจมตีแบบหลายขั้นตอนที่ซับซ้อนโดยใช้เหยื่อล่อฟิชชิ่งที่มีธีมตามใบแจ้งหนี้เป็นเครื่องมือในการจ่ายซอฟต์แวร์คุกคามมากมาย รวมถึง VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT และผู้ขโมยกระเป๋าเงินดิจิทัล

อีเมลหลอกลวงเหล่านี้มีไฟล์แนบในรูปแบบไฟล์ Scalable Vector Graphics (SVG) เมื่อเปิดแล้ว ไฟล์เหล่านี้จะกระตุ้นให้เกิดลำดับของการติดไวรัส สิ่งที่น่าสังเกตในการดำเนินการนี้คือการใช้ประโยชน์จากกลไกกำจัดมัลแวร์ BatCloak และ ScrubCrypt เพื่อเผยแพร่มัลแวร์ผ่านชุดสคริปต์ที่สร้างความสับสน

มัลแวร์ BatCloak อำนวยความสะดวกในการส่งมอบเพย์โหลดขั้นต่อไป

BatCloak ซึ่งมีวางจำหน่ายโดยผู้คุกคามรายอื่นตั้งแต่ปลายปี 2022 มีต้นกำเนิดมาจากเครื่องมือที่เรียกว่า Jlaive หน้าที่หลักคือการอำนวยความสะดวกในการโหลดน้ำหนักบรรทุกขั้นต่อมาในลักษณะที่หลีกเลี่ยงวิธีการตรวจจับแบบเดิมๆ

ScrubCrypt ซึ่งค้นพบครั้งแรกโดยนักวิจัยในเดือนมีนาคม 2023 ระหว่างแคมเปญ cryptojacking ที่จัดทำโดยแก๊ง 8220 เชื่อกันว่าเป็นหนึ่งในการทำซ้ำของ BatCloak ตามการค้นพบของ Trend Micro เมื่อปีที่แล้ว

ในแคมเปญล่าสุดที่ได้รับการตรวจสอบโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ไฟล์ SVG ทำหน้าที่เป็นช่องทางในการปรับใช้ไฟล์ ZIP ที่มีสคริปต์แบตช์ซึ่งน่าจะสร้างขึ้นโดยใช้ BatCloak จากนั้นสคริปต์นี้จะแตกไฟล์แบตช์ ScrubCrypt เพื่อรัน Venom RAT ในที่สุดหลังจากสร้างการคงอยู่บนโฮสต์และใช้มาตรการเพื่อหลีกเลี่ยงการป้องกัน AMSI และ ETW

อาชญากรไซเบอร์ปรับใช้ภัยคุกคามมัลแวร์จำนวนมากผ่าน BatCloak

Venom RAT ซึ่งเป็นลูกหลานของ Quasar RAT ช่วยให้ผู้โจมตีสามารถเข้ายึดระบบที่ถูกบุกรุก เก็บเกี่ยวข้อมูลที่ละเอียดอ่อน และดำเนินการคำสั่งจากเซิร์ฟเวอร์ Command-and-Control (C2) แม้ว่าฟังก์ชันการทำงานหลักของ Venom RAT อาจดูตรงไปตรงมา แต่ก็สร้างช่องทางการสื่อสารกับเซิร์ฟเวอร์ C2 เพื่อจัดหาปลั๊กอินเพิ่มเติมสำหรับกิจกรรมที่หลากหลาย สิ่งเหล่านี้รวม Venom RAT v6.0.3 ซึ่งมาพร้อมกับความสามารถของคีย์ล็อกเกอร์ เช่นเดียวกับ NanoCore RAT, XWorm และ Remcos RAT ปลั๊กอิน Remcos RAT ได้รับการเผยแพร่จาก C2 ของ VenomRAT ผ่านสามวิธี: สคริปต์ VBS ที่สร้างความสับสนชื่อ 'remcos.vbs,' ScrubCrypt และ GuLoader PowerShell

นอกจากนี้การเผยแพร่ผ่านระบบปลั๊กอินยังเป็นตัวขโมยที่ไล่ข้อมูลระบบและดูดข้อมูลจากโฟลเดอร์ที่เชื่อมโยงกับกระเป๋าเงินและแอปพลิเคชันเช่น Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ยกเลิกเมื่อเดือนมีนาคม 2023), Zcash, Foxmail และ Telegram ไปยัง เซิร์ฟเวอร์ระยะไกล

การดำเนินการโจมตีที่ซับซ้อนที่ได้รับการบันทึกไว้นั้นใช้กลยุทธ์การทำให้งงงวยและการหลีกเลี่ยงหลายชั้นเพื่อเผยแพร่และดำเนินการ VenomRAT ผ่าน ScrubCrypt ผู้กระทำผิดใช้วิธีการต่างๆ รวมถึงอีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตราย ไฟล์สคริปต์ที่สร้างความสับสน และ Guloader PowerShell เพื่อละเมิดและประนีประนอมระบบของเหยื่อ นอกจากนี้ การปรับใช้ปลั๊กอินผ่านเพย์โหลดที่หลากหลายยังเน้นย้ำถึงความคล่องตัวและความสามารถในการปรับตัวของแคมเปญการโจมตี