Uvolněte sílu BatCloak Engine: Kyberzločinci dosáhli úplného utajení malwaru
Od září 2022 využívají kyberzločinci BatCloak, výkonný a plně nezjistitelný (FUD) malwarový obfuskační stroj, k nasazení řady malwarových kmenů. Navzdory vytrvalému úsilí antivirového softwaru se BatCloak podařilo uniknout detekci a umožnit aktérům hrozeb bezproblémově načítat různé rodiny malwaru a exploity prostřednictvím silně zatemněných dávkových souborů.
Podle výzkumníků z Trend Micro ze 784 objevených artefaktů zůstává alarmujících 79,6 % nedetekováno všemi bezpečnostními řešeními, což podtrhuje efektivitu BatCloak při obcházení tradičních detekčních mechanismů.
Mechanika v motoru BatCloak
Jlaive, standardní nástroj pro tvorbu dávkových souborů, spoléhá na výkonný engine BatCloak pro pokročilé bezpečnostní úniky. Dokáže obejít Antimalware Scan Interface (AMSI), šifrovat a komprimovat užitečné zatížení a slouží jako „EXE to BAT šifrovač“.
Ačkoli open-source nástroj zmizel z GitHubu a GitLabu krátce po jeho vydání ch2sh v září 2022, další aktéři jej naklonovali, upravili a dokonce portovali na Rust. Konečné užitečné zatížení je skryto ve třech vrstvách zavaděče: zavaděč C#, zavaděč PowerShell a dávkový zavaděč. Tento dávkový nakladač, výchozí bod, dekóduje a rozbalí každou fázi, aby aktivoval skrytý malware. Výzkumníci Peter Girnus a Aliakbar Zahravi zdůraznili přítomnost zmateného zavaděče PowerShell a zašifrovaného binárního kódu C# v dávkovém zavaděči. Nakonec Jlaive využívá BatCloak jako stroj pro zmatek souborů k ochraně dávkového zavaděče a ukládá jej na disk.
ScrubCrypt: Další evoluce BatCloak
BatCloak, vysoce dynamický obfuskační engine malwaru, prošel od svého prvního vzniku významným pokrokem a úpravami. Jedna z jejích nedávných iterací, známá jako ScrubCrypt, si získala pozornost, když ji Fortinet FortiGuard Labs připojila ke kampani kryptojackingu organizované notoricky známým 8220 Gangem. Rozhodnutí vývojáře přejít z rámce s otevřeným zdrojovým kódem na model s uzavřeným zdrojovým kódem bylo motivováno úspěchy předchozích podniků, jako je Jlaive, a cílem zpeněžit projekt a zabezpečit jej proti neoprávněné replikaci.
Výzkumníci tvrdí, že ScrubCrypt se bez problémů integruje s různými prominentními rodinami malwaru, včetně Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT a Warzone RAT . Tato evoluce BatCloak je příkladem jeho přizpůsobivosti a všestrannosti jako mocného FUD dávkového obfuskátoru, což podtrhuje jeho rozšířenost v neustále se vyvíjejícím prostředí hrozeb.