Alliberant el poder del motor BatCloak: els ciberdelinqüents aconsegueixen el sigil complet del programari maliciós
Des del setembre de 2022, els ciberdelinqüents utilitzen BatCloak, un motor d'ofuscament de programari maliciós potent i totalment indetectable (FUD), per desplegar una sèrie de soques de programari maliciós. Malgrat els esforços persistents del programari antivirus, BatCloak ha aconseguit evadir la detecció, permetent als actors d'amenaces carregar sense problemes diverses famílies de programari maliciós i explotacions mitjançant fitxers per lots molt ofuscats.
Segons els investigadors de Trend Micro, dels 784 artefactes descoberts, un alarmant 79,6% segueix sense ser detectat per totes les solucions de seguretat, cosa que subratlla l'eficàcia de BatCloak per evitar els mecanismes de detecció tradicionals.
La mecànica del motor BatCloak
Jlaive, un creador de fitxers per lots disponible, es basa en el potent motor BatCloak per a una evasió de seguretat avançada. Pot evitar la interfície d'escaneig antimalware (AMSI), xifrar i comprimir càrregues útils i serveix com a "encriptador EXE a BAT".
Tot i que l'eina de codi obert va desaparèixer de GitHub i GitLab poc després del seu llançament per ch2sh el setembre de 2022, altres actors han clonat, modificat i fins i tot portat a Rust. La càrrega útil final s'amaga dins de tres capes de càrrega: un carregador C#, un carregador de PowerShell i un carregador per lots. Aquest carregador per lots, el punt de partida, descodifica i desempaqueta cada etapa per activar el programari maliciós ocult. Els investigadors Peter Girnus i Aliakbar Zahravi van destacar la presència d'un carregador PowerShell ofuscat i d'un binari C# stub xifrat dins del carregador per lots. En última instància, Jlaive aprofita BatCloak com a motor d'ofuscament de fitxers per protegir el carregador per lots, emmagatzemant-lo en un disc.
ScrubCrypt: la propera evolució de BatCloak
BatCloak, un motor d'ofuscament de programari maliciós altament dinàmic, ha experimentat avenços i adaptacions importants des de la seva aparició inicial. Una de les seves recents iteracions, coneguda com ScrubCrypt, va cridar l'atenció quan Fortinet FortiGuard Labs la va connectar a una campanya de criptojacking orquestrada pel famós 8220 Gang. La decisió del desenvolupador de transició d'un marc de codi obert a un model de codi tancat va ser motivada pels èxits d'empreses anteriors com Jlaive i l'objectiu de monetitzar el projecte i protegir-lo contra la replicació no autoritzada.
Els investigadors afirmen que ScrubCrypt s'integra perfectament amb diverses famílies destacades de programari maliciós, com ara Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT i Warzone RAT . Aquesta evolució de BatCloak exemplifica la seva adaptabilitat i versatilitat com a potent ofuscador de lots FUD, subratllant la seva prevalença en el panorama d'amenaces en constant evolució.