Phần mềm độc hại BatCloak

Các nhà phân tích an ninh mạng đã phát hiện ra một cuộc tấn công nhiều giai đoạn tinh vi sử dụng mồi nhử lừa đảo theo chủ đề hóa đơn làm phương tiện để phát tán một loạt phần mềm đe dọa, bao gồm VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT và kẻ đánh cắp nhắm mục tiêu vào ví tiền điện tử.

Những email lừa đảo này chứa các tệp đính kèm ở dạng tệp Đồ họa vectơ có thể mở rộng (SVG). Sau khi được mở, các tệp này sẽ kích hoạt một chuỗi lây nhiễm. Đáng chú ý trong hoạt động này là việc sử dụng công cụ mã hóa phần mềm độc hại BatCloak và ScrubCrypt để phát tán phần mềm độc hại thông qua các tập lệnh bó bị mã hóa.

Phần mềm độc hại BatCloak tạo điều kiện thuận lợi cho việc phân phối tải trọng giai đoạn tiếp theo

BatCloak, có sẵn để các kẻ đe dọa khác mua từ cuối năm 2022, bắt nguồn từ một công cụ có tên là Jlaive. Chức năng chính của nó là tạo điều kiện thuận lợi cho việc tải trọng tải ở giai đoạn tiếp theo theo cách tránh được các phương pháp phát hiện thông thường.

Theo phát hiện của Trend Micro năm ngoái, ScrubCrypt, ban đầu được các nhà nghiên cứu xác định vào tháng 3 năm 2023 trong một chiến dịch tấn công tiền điện tử do 8220 Gang dàn dựng, được cho là một trong những phiên bản lặp lại của BatCloak.

Trong chiến dịch gần đây nhất được các chuyên gia an ninh mạng xem xét kỹ lưỡng, tệp SVG hoạt động như một đường dẫn để triển khai kho lưu trữ ZIP chứa tập lệnh bó có thể được tạo bằng BatCloak. Sau đó, tập lệnh này sẽ giải nén tệp bó ScrubCrypt để thực thi Venom RAT sau khi thiết lập tính bền vững trên máy chủ và triển khai các biện pháp để vượt qua các biện pháp bảo vệ AMSI và ETW.

Tội phạm mạng triển khai nhiều mối đe dọa phần mềm độc hại thông qua BatCloak

Là một nhánh của Quasar RAT , Venom RAT trao quyền cho kẻ tấn công chiếm giữ các hệ thống bị xâm nhập, thu thập dữ liệu nhạy cảm và thực thi các lệnh từ máy chủ Chỉ huy và Kiểm soát (C2). Mặc dù chức năng cốt lõi của Venom RAT có vẻ đơn giản nhưng nó thiết lập các kênh liên lạc với máy chủ C2 để mua các plugin bổ sung cho các hoạt động đa dạng. Chúng bao gồm Venom RAT v6.0.3, được trang bị khả năng keylogger, cũng như NanoCore RAT, XWorm và Remcos RAT. Plugin Remcos RAT được phát tán từ C2 của VenomRAT thông qua ba phương pháp: tập lệnh VBS bị xáo trộn có tên 'remcos.vbs', ScrubCrypt và GuLoader PowerShell.

Cũng được phân phối thông qua hệ thống plugin là một công cụ đánh cắp thông tin hệ thống và lấy dữ liệu từ các thư mục được liên kết với ví và ứng dụng như Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (đã ngừng hoạt động kể từ tháng 3 năm 2023), Zcash, Foxmail và Telegram sang một máy chủ từ xa.

Hoạt động tấn công tinh vi được ghi lại sử dụng nhiều lớp chiến thuật che giấu và lẩn tránh để phổ biến và thực thi VenomRAT thông qua ScrubCrypt. Thủ phạm sử dụng nhiều phương tiện khác nhau, bao gồm email lừa đảo có tệp đính kèm độc hại, tệp tập lệnh bị xáo trộn và Guloader PowerShell, để vi phạm và xâm phạm hệ thống của nạn nhân. Hơn nữa, việc triển khai các plugin thông qua tải trọng đa dạng nhấn mạnh tính linh hoạt và khả năng thích ứng của chiến dịch tấn công.