BatCloaki mootori jõu vallandamine: küberkurjategijad saavutavad täieliku pahavara varjamise

Alates 2022. aasta septembrist on küberkurjategijad kasutanud BatCloaki, võimsat ja täielikult tuvastamatut (FUD) pahavara hägustamise mootorit, et juurutada mitmesuguseid pahavara tüvesid. Vaatamata viirusetõrjetarkvara pidevatele jõupingutustele on BatCloakil õnnestunud avastamisest kõrvale hiilida, võimaldades ohus osalejatel sujuvalt laadida mitmesuguseid pahavaraperekondi ja ärakasutusi tugevalt hägustatud pakifailide kaudu.

Trend Micro teadlaste sõnul jääb 784 avastatud artefaktist murettekitavad 79,6% kõikidele turvalahendustele avastamata, mis rõhutab BatCloaki tõhusust traditsioonilistest tuvastamismehhanismidest mööda hiilimisel.

BatCloaki mootori mehaanika

Jlaive, valmis pakifailide koostaja, tugineb täiustatud turvalisusest kõrvalehoidmiseks võimsale BatCloaki mootorile. See võib mööda minna ründevaratõrjeliidesest (AMSI), krüpteerida ja tihendada kasulikke koormusi ning toimib "EXE to BAT krüpterina".

Kuigi avatud lähtekoodiga tööriist kadus GitHubist ja GitLabist varsti pärast selle avaldamist ch2sh-i poolt 2022. aasta septembris, on teised osalejad seda klooninud, muutnud ja isegi Rusti portinud. Lõplik kasulik koormus on peidetud kolme laadurikihi sisse: C#-laadur, PowerShelli laadur ja partiilaadur. See pakettlaadur, lähtepunkt, dekodeerib ja pakib lahti iga etapi, et aktiveerida peidetud pahavara. Teadlased Peter Girnus ja Aliakbar Zahravi tõstsid esile hägustatud PowerShelli laaduri ja krüptitud C# binaarfaili olemasolu partiilaaduris. Lõppkokkuvõttes kasutab Jlaive BatCloaki failide hägustamise mootorina, et kaitsta partiilaadurit, salvestades selle kettale.

ScrubCrypt: BatCloaki järgmine areng

BatCloak, väga dünaamiline pahavara hägustamise mootor, on alates selle esialgsest ilmumisest läbi teinud märkimisväärseid edusamme ja kohandusi. Üks selle hiljutistest iteratsioonidest, tuntud kui ScrubCrypt, pälvis tähelepanu, kui Fortinet FortiGuard Labs ühendas selle kurikuulsa 8220 Gangi korraldatud krüptorahastamise kampaaniaga. Arendaja otsus minna üle avatud lähtekoodiga raamistikult suletud lähtekoodiga mudelile oli ajendatud varasemate ettevõtmiste, nagu Jlaive, edust ja eesmärgist rahastada projekti ja kaitsta seda volitamata replikatsiooni eest.

Teadlased väidavad, et ScrubCrypt integreerub sujuvalt erinevate silmapaistvate pahavaraperekondadega, sealhulgas Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT ja Warzone RAT . BatCloaki selline areng näitab selle kohanemisvõimet ja mitmekülgsust võimsa FUD-partii hägustajana, rõhutades selle levimust pidevalt areneval ohumaastikul.