蝙蝠斗篷惡意軟體

網路安全分析師發現了一種複雜的多階段攻擊，利用以發票為主題的網路釣魚誘餌作為傳播一系列威脅軟體的工具，包括VenomRAT 、 RemcosRAT 、 XWormRAT 、 NanoCore RAT和針對加密錢包的竊取程式。

這些詐騙電子郵件包含可擴充向量圖形 (SVG) 檔案形式的附件。一旦打開，這些文件就會觸發一系列感染。這次行動中值得注意的是，利用了BatCloak惡意軟體混淆引擎和ScrubCrypt，透過混淆的批次腳本來傳播惡意軟體。

BatCloak 惡意軟體促進下一階段有效負載的交付

自 2022 年底以來，其他威脅行為者就可以購買 BatCloak，它源自於一種名為 Jlaive 的工具。其主要功能是以逃避傳統檢測方法的方式促進後續階段有效載荷的負載。

ScrubCrypt 最初由研究人員於 2023 年 3 月在 8220 Gang 策劃的加密劫持活動中發現，根據趨勢科技去年的調查結果，人們認為 ScrubCrypt 是 BatCloak 的迭代版本之一。

在網路安全專家最近審查的一次活動中，SVG 檔案充當了部署 ZIP 存檔的管道，其中包含可能使用 BatCloak 製作的批次腳本。然後，該腳本會解壓縮 ScrubCrypt 批次文件，在主機上建立持久性並實施繞過 AMSI 和 ETW 保護的措施後最終執行 Venom RAT。

網路犯罪分子透過 BatCloak 部署大量惡意軟體威脅

Venom RAT 是Quasar RAT的一個分支，它使攻擊者能夠控制受感染的系統、獲取敏感資料並從命令與控制 (C2) 伺服器執行命令。儘管 Venom RAT 的核心功能看似簡單，但它與 C2 伺服器建立通訊通道，以獲取用於各種活動的額外插件。其中包括配備鍵盤記錄功能的 Venom RAT v6.0.3，以及 NanoCore RAT、XWorm 和 Remcos RAT。 Remcos RAT 外掛程式透過三種方法從 VenomRAT 的 C2 傳播：名為「remcos.vbs」的混淆 VBS 腳本、ScrubCrypt 和GuLoader PowerShell。

也透過外掛系統分發的竊取程式會清除系統訊息，並從與錢包和應用程式（例如Atomic Wallet、Electrum、Ethereum、Exodus、Jaxx Liberty（自2023 年3 月停止）、Zcash、Foxmail 和Telegram）連結的資料夾中吸取數據，以遠端伺服器。

記錄在案的複雜攻擊操作採用多層混淆和規避策略，透過 ScrubCrypt 傳播和執行 VenomRAT。犯罪者利用各種手段，包括帶有惡意附件的網路釣魚電子郵件、混淆的腳本檔案和 Guloader PowerShell，來破壞和危害受害者係統。此外，透過不同的有效負載部署插件強調了攻擊活動的多功能性和適應性。