آزادسازی قدرت موتور BatCloak: مجرمان سایبری به مخفی کاری کامل بدافزار دست می یابند
از سپتامبر 2022، مجرمان سایبری از BatCloak، یک موتور مبهمسازی بدافزار قدرتمند و کاملاً غیرقابل کشف (FUD) برای استقرار طیفی از گونههای بدافزار استفاده میکنند. علیرغم تلاشهای مداوم نرمافزار آنتیویروس، BatCloak توانسته است از شناسایی فرار کند و عاملان تهدید را قادر میسازد تا خانوادهها و سوء استفادههای مختلف بدافزار را از طریق فایلهای دستهای به شدت مبهم بارگیری کنند.
به گفته محققان Trend Micro، از 784 مصنوع کشف شده، 79.6 درصد هشداردهنده توسط تمام راه حل های امنیتی شناسایی نشده باقی می مانند که بر اثربخشی BatCloak در دور زدن مکانیسم های تشخیص سنتی تاکید می کند.
مکانیک در موتور BatCloak
Jlaive، یک سازنده فایل دستهای، به موتور قدرتمند BatCloak برای فرار از امنیت پیشرفته متکی است. میتواند رابط اسکن ضد بدافزار (AMSI) را دور بزند، محمولهها را رمزگذاری و فشرده کند، و بهعنوان یک رمزگذار EXE به BAT عمل میکند.
اگرچه ابزار منبع باز مدت کوتاهی پس از انتشار توسط ch2sh در سپتامبر 2022 از GitHub و GitLab ناپدید شد، سایر بازیگران شبیه سازی، اصلاح و حتی به Rust پورت شده اند. بار نهایی در سه لایه لودر پنهان می شود: یک لودر C#، یک لودر PowerShell و یک بارگذار دسته ای. این بارگذار دسته ای، نقطه شروع، هر مرحله را رمزگشایی و باز می کند تا بدافزار پنهان را فعال کند. محققین پیتر گیرنوس و علی اکبر زهراوی وجود یک لودر PowerShell مبهم و یک باینری خرد C# رمزگذاری شده در بارگذار دسته ای را برجسته کردند. در نهایت، Jlaive از BatCloak به عنوان یک موتور مبهم سازی فایل برای محافظت از بارگذار دسته ای استفاده می کند و آن را روی یک دیسک ذخیره می کند.
ScrubCrypt: تکامل بعدی BatCloak
BatCloak، یک موتور مبهمسازی بدافزار بسیار پویا، از زمان ظهور اولیه، دستخوش پیشرفتها و سازگاریهای قابل توجهی شده است. یکی از تکرارهای اخیر آن که به نام ScrubCrypt شناخته میشود، زمانی مورد توجه قرار گرفت که آزمایشگاه Fortinet FortiGuard آن را به یک کمپین سرقت رمزنگاری که توسط گروه بدنام 8220 سازماندهی شده بود متصل کرد. تصمیم توسعهدهنده برای انتقال از یک چارچوب منبع باز به یک مدل منبع بسته با انگیزه موفقیتهای سرمایهگذاری قبلی مانند Jlaive و هدف کسب درآمد از پروژه و محافظت از آن در برابر تکرار غیرمجاز بود.
محققان ادعا میکنند که ScrubCrypt بهطور یکپارچه با خانوادههای مختلف بدافزار برجسته، از جمله Amadey ، AsyncRAT ، DarkCrystal RAT ، Pure Miner، Quasar RAT ، RedLine Stealer ، Remcos RAT ، SmokeLoader ، VenomRAT و Warzone RAT یکپارچه میشود. این تکامل BatCloak سازگاری و تطبیق پذیری آن را به عنوان یک مبهم کننده دسته ای قدرتمند FUD نشان می دهد، که بر شیوع آن در چشم انداز تهدید همیشه در حال تکامل تأکید می کند.