Шкідливе програмне забезпечення BatCloak

Аналітики з кібербезпеки виявили складну багатоетапну атаку з використанням фішингових приманок на тему рахунків-фактур як засобу для розповсюдження низки загрозливого програмного забезпечення, включаючи VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT і крадіжку крипто-гаманців.

Ці шахрайські електронні листи містять вкладення у формі файлів масштабованої векторної графіки (SVG). Після відкриття ці файли викликають послідовність заражень. У цій операції варто відзначити використання механізму обфускації зловмисного програмного забезпечення BatCloak і ScrubCrypt для поширення зловмисного програмного забезпечення за допомогою обфускованих пакетних сценаріїв.

Зловмисне програмне забезпечення BatCloak полегшує доставку корисних навантажень наступного етапу

BatCloak, доступний для придбання іншими загрозниками з кінця 2022 року, походить від інструменту, відомого як Jlaive. Його основна функція полягає в тому, щоб полегшити завантаження корисного навантаження наступного етапу таким чином, щоб уникнути звичайних методів виявлення.

ScrubCrypt, вперше ідентифікований дослідниками в березні 2023 року під час кампанії криптовикрадення, організованої бандою 8220 Gang, вважається однією з ітерацій BatCloak, згідно з висновками Trend Micro минулого року.

В останній кампанії, яку ретельно перевірили спеціалісти з кібербезпеки, файл SVG діє як канал для розгортання ZIP-архіву, що містить пакетний сценарій, імовірно створений за допомогою BatCloak. Потім цей сценарій розпаковує пакетний файл ScrubCrypt, щоб остаточно запустити Venom RAT після встановлення постійності на хості та впровадження заходів для обходу захисту AMSI та ETW.

Кіберзлочинці розгортають численні загрози зловмисного програмного забезпечення через BatCloak

Відгалуження Quasar RAT , Venom RAT дає змогу зловмисникам заволодіти зламаними системами, збирати конфіденційні дані та виконувати команди з сервера командування та керування (C2). Хоча основна функція Venom RAT може здатися простою, вона встановлює канали зв’язку з сервером C2 для отримання додаткових плагінів для різноманітних дій. Вони включають Venom RAT v6.0.3, який оснащено можливостями кейлоггера, а також NanoCore RAT, XWorm і Remcos RAT. Плагін Remcos RAT поширюється з C2 VenomRAT трьома методами: обфускований сценарій VBS під назвою «remcos.vbs», ScrubCrypt і GuLoader PowerShell.

Через систему плагінів також розповсюджується викрадач, який збирає системну інформацію та перекачує дані з папок, пов’язаних із гаманцями та програмами, такими як Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (припинено з березня 2023 року), Zcash, Foxmail і Telegram до віддалений сервер.

Задокументована складна операція атаки використовує багаторівневу тактику обфускації та ухилення для поширення та виконання VenomRAT через ScrubCrypt. Зловмисники використовують різні засоби, зокрема фішингові електронні листи зі зловмисними вкладеннями, обфусковані файли сценаріїв і Guloader PowerShell, щоб зламати та скомпрометувати системи жертв. Крім того, розгортання плагінів за допомогою різноманітних корисних навантажень підкреслює універсальність і адаптивність кампанії атаки.