Slip kraften fra BatCloak Engine løs: Cyberkriminelle opnår komplet malware-stealth
Siden september 2022 har cyberkriminelle brugt BatCloak, en kraftfuld og fuldstændig udetekterbar (FUD) malware-obfuscation-motor, til at implementere en række malware-stammer. På trods af vedvarende indsats fra antivirussoftware, har BatCloak formået at unddrage sig opdagelse, hvilket gør det muligt for trusselsaktører problemfrit at indlæse forskellige malware-familier og udnyttelser gennem stærkt slørede batchfiler.
Ifølge forskere hos Trend Micro, ud af de 784 opdagede artefakter, forbliver alarmerende 79,6 % uopdaget af alle sikkerhedsløsninger, hvilket understreger BatCloaks effektivitet i at omgå traditionelle detektionsmekanismer.
Mekanikken i BatCloak-motoren
Jlaive, en hyldevare-batchfilbygger, er afhængig af den kraftfulde BatCloak-motor til avanceret sikkerhedsunddragelse. Det kan omgå Antimalware Scan Interface (AMSI), kryptere og komprimere nyttelaster og fungerer som en "EXE til BAT-kryptering".
Selvom open source-værktøjet forsvandt fra GitHub og GitLab kort efter dets udgivelse af ch2sh i september 2022, har andre aktører klonet, modificeret og endda porteret til Rust. Den endelige nyttelast ligger skjult i tre loader-lag: en C#-loader, en PowerShell-loader og en batch-loader. Denne batchindlæser, udgangspunktet, afkoder og pakker hvert trin ud for at aktivere den skjulte malware. Forskerne Peter Girnus og Aliakbar Zahravi fremhævede tilstedeværelsen af en sløret PowerShell-indlæser og en krypteret C#-stub-binær i batch-indlæseren. I sidste ende udnytter Jlaive BatCloak som en filobfuskeringsmotor til at beskytte batch-indlæseren og gemmer den på en disk.
ScrubCrypt: The Next Evolution of BatCloak
BatCloak, en meget dynamisk malware-obfuscation-motor, har gennemgået betydelige fremskridt og tilpasninger siden dens første fremkomst. En af dens seneste iterationer, kendt som ScrubCrypt, fik opmærksomhed, da Fortinet FortiGuard Labs koblede den til en kryptojacking-kampagne orkestreret af den berygtede 8220-bande. Udviklerens beslutning om at gå fra en open source-ramme til en lukket kilde-model var motiveret af succeserne fra tidligere ventures som Jlaive og målet om at tjene penge på projektet og beskytte det mod uautoriseret replikering.
Forskere hævder, at ScrubCrypt problemfrit integrerer med forskellige prominente malware-familier, herunder Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT og Warzone RAT . Denne udvikling af BatCloak eksemplificerer dens tilpasningsevne og alsidighed som en kraftfuld FUD batch obfuscator, der understreger dens udbredelse i det stadigt udviklende trussellandskab.