BatCloak Malware
Ang mga analyst ng Cybersecurity ay nakahukay ng isang sopistikadong multi-phased assault na gumagamit ng mga invoice-themed phishing lure bilang sasakyan para sa pagbibigay ng hanay ng mga nagbabantang software, kabilang ang VenomRAT , ang RemcosRAT , ang XWormRAT , ang NanoCore RAT at isang crypto wallet-targeting stealer.
Ang mga mapanlinlang na email na ito ay naglalaman ng mga attachment sa anyo ng mga Scalable Vector Graphics (SVG) na file. Kapag nabuksan, ang mga file na ito ay nagti-trigger ng pagkakasunod-sunod ng mga impeksyon. Kapansin-pansin sa operasyong ito ang paggamit ng BatCloak malware obfuscation engine at ScrubCrypt upang ipalaganap ang malware sa pamamagitan ng obfuscated batch script.
Pinapadali ng BatCloak Malware ang Paghahatid ng Mga Susunod na Yugto na Payload
Ang BatCloak, na mabibili ng iba pang mga banta na aktor mula noong huling bahagi ng 2022, ay nagmula sa isang tool na kilala bilang Jlaive. Ang pangunahing tungkulin nito ay upang mapadali ang pag-load ng isang kasunod na yugto ng kargamento sa paraang umiiwas sa mga kumbensyonal na pamamaraan ng pagtuklas.
Ang ScrubCrypt, na unang tinukoy ng mga mananaliksik noong Marso 2023 sa panahon ng kampanyang cryptojacking na inayos ng 8220 Gang, ay pinaniniwalaang isa sa mga pag-ulit ng BatCloak, ayon sa mga natuklasan ng Trend Micro noong nakaraang taon.
Sa pinakahuling campaign na sinuri ng mga cybersecurity specialist, ang SVG file ay gumaganap bilang isang conduit para sa pag-deploy ng ZIP archive na naglalaman ng isang batch script na malamang na ginawa gamit ang BatCloak. Pagkatapos ay i-unpack ng script na ito ang ScrubCrypt batch file upang tuluyang maisakatuparan ang Venom RAT pagkatapos maitaguyod ang pagtitiyaga sa host at magpatupad ng mga hakbang upang laktawan ang mga proteksyon ng AMSI at ETW.
Naglalatag ang mga Cybercriminal ng Maraming Malware Threat sa pamamagitan ng BatCloak
Isang sanga ng Quasar RAT , binibigyang kapangyarihan ng Venom RAT ang mga umaatake na hawakan ang mga nakompromisong system, mag-ani ng sensitibong data, at magsagawa ng mga command mula sa isang Command-and-Control (C2) server. Bagama't ang pangunahing pag-andar ng Venom RAT ay maaaring mukhang diretso, nagtatatag ito ng mga channel ng komunikasyon sa C2 server upang makakuha ng mga karagdagang plugin para sa magkakaibang mga aktibidad. Ang mga ito ay sumasaklaw sa Venom RAT v6.0.3, na nilagyan ng mga kakayahan ng keylogger, pati na rin ang NanoCore RAT, XWorm, at Remcos RAT. Ang Remcos RAT plugin ay ipinakalat mula sa VenomRAT's C2 sa pamamagitan ng tatlong pamamaraan: isang obfuscated VBS script na pinangalanang 'remcos.vbs,' ScrubCrypt at ang GuLoader PowerShell.
Ipinapamahagi din sa pamamagitan ng plugin system ang isang stealer na nag-scavenge ng impormasyon ng system at sumisipsip ng data mula sa mga folder na naka-link sa mga wallet at application tulad ng Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (itinigil noong Marso 2023), Zcash, Foxmail at Telegram hanggang isang malayuang server.
Ang dokumentadong sopistikadong operasyon ng pag-atake ay gumagamit ng maraming mga layer ng obfuscation at mga taktika sa pag-iwas upang ipalaganap at isagawa ang VenomRAT sa pamamagitan ng ScrubCrypt. Gumagamit ang mga salarin ng iba't ibang paraan, kabilang ang mga phishing na email na may mga nakakahamak na attachment, na-obfuscate na mga script file, at Guloader PowerShell, upang labagin at ikompromiso ang mga system ng biktima. Higit pa rito, binibigyang-diin ng deployment ng mga plugin sa pamamagitan ng magkakaibang mga payload ang versatility at adaptability ng attack campaign.
