Разгръщане на силата на BatCloak Engine: Киберпрестъпниците постигат пълен стелт за зловреден софтуер

От септември 2022 г. киберпрестъпниците използват BatCloak, мощен и напълно неоткриваем (FUD) механизъм за обфускиране на злонамерен софтуер, за внедряване на набор от видове злонамерен софтуер. Въпреки постоянните усилия на антивирусния софтуер, BatCloak успя да избегне откриването, позволявайки на участниците в заплахата безпроблемно да зареждат различни фамилии злонамерен софтуер и експлойти чрез силно обфускирани пакетни файлове.

Според изследователи от Trend Micro, от откритите 784 артефакта, тревожните 79,6% остават неоткрити от всички решения за сигурност, което подчертава ефективността на BatCloak при заобикалянето на традиционните механизми за откриване.

Механиката в двигателя BatCloak

Jlaive, готов конструктор на пакетни файлове, разчита на мощния двигател BatCloak за усъвършенствано избягване на сигурността. Той може да заобиколи интерфейса за сканиране срещу зловреден софтуер (AMSI), да криптира и компресира полезни данни и служи като „шифратор от EXE към BAT“.

Въпреки че инструментът с отворен код изчезна от GitHub и GitLab малко след пускането му от ch2sh през септември 2022 г., други участници са клонирали, модифицирали и дори пренесли в Rust. Крайният полезен товар е скрит в три зареждащи слоя: зареждащ C#, зареждащ PowerShell и партиден зареждащ. Това пакетно зареждане, началната точка, декодира и разопакова всеки етап, за да активира скрития зловреден софтуер. Изследователите Питър Гирнус и Алиакбар Захрави подчертаха наличието на обфусциран PowerShell loader и криптиран двоичен файл на C# в пакетния loader. В крайна сметка Jlaive използва BatCloak като механизъм за обфускация на файлове, за да защити пакетното зареждане, като го съхранява на диск.

ScrubCrypt: Следващата еволюция на BatCloak

BatCloak, изключително динамична машина за обфускиране на злонамерен софтуер, претърпя значителни подобрения и адаптации от първоначалната си поява. Една от скорошните му итерации, известна като ScrubCrypt, привлече вниманието, когато Fortinet FortiGuard Labs го свърза с кампания за криптовалута, организирана от прословутата банда 8220. Решението на разработчика да премине от рамка с отворен код към модел със затворен код беше мотивирано от успехите на предишни начинания като Jlaive и целта за монетизиране на проекта и защитата му срещу неоторизирано копиране.

Изследователите твърдят, че ScrubCrypt безпроблемно се интегрира с различни видни семейства зловреден софтуер, включително Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT и Warzone RAT . Тази еволюция на BatCloak илюстрира неговата адаптивност и гъвкавост като мощен пакетен обфускатор на FUD, подчертавайки неговото разпространение в непрекъснато развиващия се пейзаж на заплахите.