Απελευθερώνοντας τη δύναμη της μηχανής BatCloak: Οι κυβερνοεγκληματίες επιτυγχάνουν πλήρη μυστικότητα κακόβουλου λογισμικού

Από τον Σεπτέμβριο του 2022, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν το BatCloak, μια ισχυρή και πλήρως μη ανιχνεύσιμη μηχανή συσκότισης κακόβουλου λογισμικού (FUD), για να αναπτύξουν μια σειρά από στελέχη κακόβουλου λογισμικού. Παρά τις επίμονες προσπάθειες του λογισμικού προστασίας από ιούς, το BatCloak κατάφερε να αποφύγει τον εντοπισμό, επιτρέποντας στους παράγοντες απειλών να φορτώνουν απρόσκοπτα διάφορες οικογένειες κακόβουλου λογισμικού και εκμεταλλεύσεις μέσω βαρέως ασαφών αρχείων δέσμης.

Σύμφωνα με ερευνητές της Trend Micro, από τα 784 τεχνουργήματα που ανακαλύφθηκαν, ένα ανησυχητικό 79,6% παραμένει απαρατήρητο από όλες τις λύσεις ασφαλείας, υπογραμμίζοντας την αποτελεσματικότητα του BatCloak στην παράκαμψη των παραδοσιακών μηχανισμών ανίχνευσης.

The Mechanics in the BatCloak Engine

Το Jlaive, ένα πρόγραμμα δημιουργίας ομαδικών αρχείων εκτός ραφιού, βασίζεται στον ισχυρό κινητήρα BatCloak για προηγμένη διαφυγή ασφαλείας. Μπορεί να παρακάμψει το Antimalware Scan Interface (AMSI), να κρυπτογραφήσει και να συμπιέσει τα ωφέλιμα φορτία και χρησιμεύει ως "κρυπτογράφηση EXE to BAT".

Αν και το εργαλείο ανοιχτού κώδικα εξαφανίστηκε από το GitHub και το GitLab λίγο μετά την κυκλοφορία του από το ch2sh τον Σεπτέμβριο του 2022, άλλοι ηθοποιοί έχουν κλωνοποιήσει, τροποποιήσει και ακόμη και μεταφερθεί στο Rust. Το τελικό ωφέλιμο φορτίο βρίσκεται κρυμμένο μέσα σε τρία επίπεδα φορτωτή: έναν φορτωτή C#, έναν φορτωτή PowerShell και έναν φορτωτή παρτίδας. Αυτός ο φορτωτής παρτίδας, το σημείο εκκίνησης, αποκωδικοποιεί και αποσυσκευάζει κάθε στάδιο για να ενεργοποιήσει το κρυφό κακόβουλο λογισμικό. Οι ερευνητές Peter Girnus και Aliakbar Zahravi τόνισαν την παρουσία ενός σκοτεινού φορτωτή PowerShell και ενός κρυπτογραφημένου δυαδικού αρχείου C# μέσα στον φορτωτή παρτίδας. Τελικά, η Jlaive αξιοποιεί το BatCloak ως μηχανή συσκότισης αρχείων για την προστασία του φορτωτή παρτίδας, αποθηκεύοντάς τον σε έναν δίσκο.

ScrubCrypt: Η επόμενη εξέλιξη του BatCloak

Το BatCloak, μια εξαιρετικά δυναμική μηχανή συσκότισης κακόβουλου λογισμικού, έχει υποστεί σημαντικές εξελίξεις και προσαρμογές από την αρχική του εμφάνιση. Μια από τις πρόσφατες επαναλήψεις του, γνωστή ως ScrubCrypt, κέρδισε την προσοχή όταν η Fortinet FortiGuard Labs τη συνέδεσε με μια καμπάνια cryptojacking που ενορχηστρώθηκε από τη διαβόητη συμμορία 8220. Η απόφαση του προγραμματιστή να μεταβεί από ένα πλαίσιο ανοιχτού κώδικα σε ένα μοντέλο κλειστού κώδικα υποκινήθηκε από τις επιτυχίες προηγούμενων εγχειρημάτων όπως το Jlaive και τον στόχο της δημιουργίας εσόδων από το έργο και την προστασία του από μη εξουσιοδοτημένη αναπαραγωγή.

Οι ερευνητές υποστηρίζουν ότι το ScrubCrypt ενσωματώνεται απρόσκοπτα με διάφορες εξέχουσες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT και Warzone RAT . Αυτή η εξέλιξη του BatCloak αποτελεί παράδειγμα της προσαρμοστικότητας και της ευελιξίας του ως ισχυρού συσκότισης παρτίδας FUD, υπογραμμίζοντας την επικράτηση του στο συνεχώς εξελισσόμενο τοπίο απειλών.