Uvolněte sílu BatCloak Engine: Kyberzločinci dosáhli úplného utajení malwaru

Od září 2022 využívají kyberzločinci BatCloak, výkonný a plně nezjistitelný (FUD) malwarový obfuskační stroj, k nasazení řady malwarových kmenů. Navzdory vytrvalému úsilí antivirového softwaru se BatCloak podařilo uniknout detekci a umožnit aktérům hrozeb bezproblémově načítat různé rodiny malwaru a exploity prostřednictvím silně zatemněných dávkových souborů.

Podle výzkumníků z Trend Micro ze 784 objevených artefaktů zůstává alarmujících 79,6 % nedetekováno všemi bezpečnostními řešeními, což podtrhuje efektivitu BatCloak při obcházení tradičních detekčních mechanismů.

Mechanika v motoru BatCloak

Jlaive, standardní nástroj pro tvorbu dávkových souborů, spoléhá na výkonný engine BatCloak pro pokročilé bezpečnostní úniky. Dokáže obejít Antimalware Scan Interface (AMSI), šifrovat a komprimovat užitečné zatížení a slouží jako „EXE to BAT šifrovač“.

Ačkoli open-source nástroj zmizel z GitHubu a GitLabu krátce po jeho vydání ch2sh v září 2022, další aktéři jej naklonovali, upravili a dokonce portovali na Rust. Konečné užitečné zatížení je skryto ve třech vrstvách zavaděče: zavaděč C#, zavaděč PowerShell a dávkový zavaděč. Tento dávkový nakladač, výchozí bod, dekóduje a rozbalí každou fázi, aby aktivoval skrytý malware. Výzkumníci Peter Girnus a Aliakbar Zahravi zdůraznili přítomnost zmateného zavaděče PowerShell a zašifrovaného binárního kódu C# v dávkovém zavaděči. Nakonec Jlaive využívá BatCloak jako stroj pro zmatek souborů k ochraně dávkového zavaděče a ukládá jej na disk.

ScrubCrypt: Další evoluce BatCloak

BatCloak, vysoce dynamický obfuskační engine malwaru, prošel od svého prvního vzniku významným pokrokem a úpravami. Jedna z jejích nedávných iterací, známá jako ScrubCrypt, si získala pozornost, když ji Fortinet FortiGuard Labs připojila ke kampani kryptojackingu organizované notoricky známým 8220 Gangem. Rozhodnutí vývojáře přejít z rámce s otevřeným zdrojovým kódem na model s uzavřeným zdrojovým kódem bylo motivováno úspěchy předchozích podniků, jako je Jlaive, a cílem zpeněžit projekt a zabezpečit jej proti neoprávněné replikaci.

Výzkumníci tvrdí, že ScrubCrypt se bez problémů integruje s různými prominentními rodinami malwaru, včetně Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT a Warzone RAT . Tato evoluce BatCloak je příkladem jeho přizpůsobivosti a všestrannosti jako mocného FUD dávkového obfuskátoru, což podtrhuje jeho rozšířenost v neustále se vyvíjejícím prostředí hrozeb.