إطلاق العنان لقوة محرك BatCloak: مجرمو الإنترنت يحققون خلسة كاملة من البرامج الضارة

منذ سبتمبر 2022 ، يستخدم مجرمو الإنترنت BatCloak ، محرك تشويش قوي وغير قابل للاكتشاف (FUD) للبرامج الضارة ، لنشر مجموعة من سلالات البرامج الضارة. على الرغم من الجهود المستمرة التي تبذلها برامج مكافحة الفيروسات ، تمكنت BatCloak من التهرب من الاكتشاف ، وتمكين الجهات الفاعلة في التهديد من تحميل عائلات البرامج الضارة المختلفة بسلاسة واستغلالها من خلال ملفات دفعية شديدة التعتيم.

وفقًا للباحثين في Trend Micro ، من بين 784 قطعة أثرية تم اكتشافها ، لم يتم اكتشاف 79.6٪ من قبل جميع الحلول الأمنية ، مما يؤكد فعالية BatCloak في تجاوز آليات الكشف التقليدية.

الميكانيكا في محرك BatCloak

تعتمد Jlaive ، وهي منشئ ملفات دُفعات جاهزة ، على محرك BatCloak القوي للتهرب الأمني المتقدم. يمكنه تجاوز واجهة فحص مكافحة البرامج الضارة (AMSI) ، وتشفير الحمولات وضغطها ، ويعمل بمثابة أداة تشفير "EXE to BAT crypter".

على الرغم من اختفاء الأداة مفتوحة المصدر من GitHub و GitLab بعد فترة وجيزة من إطلاقها بواسطة ch2sh في سبتمبر 2022 ، قام ممثلون آخرون باستنساخ وتعديل وحتى نقلهم إلى Rust. تكمن الحمولة الصافية النهائية في ثلاث طبقات محمل: محمل C # ، ومحمل PowerShell ، ومحمل دفعي. يقوم مُحمل الدُفعات ، وهو نقطة البداية ، بفك تشفير وفك كل مرحلة لتنشيط البرامج الضارة المخفية. سلط الباحثان بيتر جيرنوس وألياكبار زهرافي الضوء على وجود محمل PowerShell مبهم وثنائي C # كعب مشفر داخل محمل الدُفعات. في النهاية ، استفاد Jlaive من BatCloak كمحرك تشويش للملفات لحماية محمل الدُفعات ، وتخزينه على قرص.

ScrubCrypt: التطور التالي لـ BatCloak

خضع BatCloak ، وهو محرك تشويش للبرامج الضارة ديناميكي للغاية ، إلى تطورات وتعديلات كبيرة منذ ظهوره الأولي. اكتسبت إحدى إصداراتها الحديثة ، والمعروفة باسم ScrubCrypt ، الانتباه عندما ربطتها Fortinet FortiGuard Labs بحملة cryptojacking التي نظمتها عصابة 8220 سيئة السمعة. كان قرار المطور بالانتقال من إطار مفتوح المصدر إلى نموذج مغلق المصدر مدفوعًا بنجاح المشاريع السابقة مثل Jlaive وهدف تحقيق الدخل من المشروع وحمايته من النسخ غير المصرح به.

يؤكد الباحثون أن ScrubCrypt يتكامل بسلاسة مع العديد من عائلات البرامج الضارة البارزة ، بما في ذلك Amadey و AsyncRAT و DarkCrystal RAT و Pure Miner و Quasar RAT و RedLine Stealer و Remcos RAT و SmokeLoader و VenomRAT و Warzone RAT . يمثل هذا التطور في BatCloak مثالاً على قدرته على التكيف وتعدد استخداماته باعتباره معتمًا قويًا لمجموعة FUD ، مما يؤكد انتشاره في مشهد التهديدات المتطور باستمرار.