آزادسازی قدرت موتور BatCloak: مجرمان سایبری به مخفی کاری کامل بدافزار دست می یابند

از سپتامبر 2022، مجرمان سایبری از BatCloak، یک موتور مبهم‌سازی بدافزار قدرتمند و کاملاً غیرقابل کشف (FUD) برای استقرار طیفی از گونه‌های بدافزار استفاده می‌کنند. علی‌رغم تلاش‌های مداوم نرم‌افزار آنتی‌ویروس، BatCloak توانسته است از شناسایی فرار کند و عاملان تهدید را قادر می‌سازد تا خانواده‌ها و سوء استفاده‌های مختلف بدافزار را از طریق فایل‌های دسته‌ای به شدت مبهم بارگیری کنند.

به گفته محققان Trend Micro، از 784 مصنوع کشف شده، 79.6 درصد هشداردهنده توسط تمام راه حل های امنیتی شناسایی نشده باقی می مانند که بر اثربخشی BatCloak در دور زدن مکانیسم های تشخیص سنتی تاکید می کند.

مکانیک در موتور BatCloak

Jlaive، یک سازنده فایل دسته‌ای، به موتور قدرتمند BatCloak برای فرار از امنیت پیشرفته متکی است. می‌تواند رابط اسکن ضد بدافزار (AMSI) را دور بزند، محموله‌ها را رمزگذاری و فشرده کند، و به‌عنوان یک رمزگذار EXE به BAT عمل می‌کند.

اگرچه ابزار منبع باز مدت کوتاهی پس از انتشار توسط ch2sh در سپتامبر 2022 از GitHub و GitLab ناپدید شد، سایر بازیگران شبیه سازی، اصلاح و حتی به Rust پورت شده اند. بار نهایی در سه لایه لودر پنهان می شود: یک لودر C#، یک لودر PowerShell و یک بارگذار دسته ای. این بارگذار دسته ای، نقطه شروع، هر مرحله را رمزگشایی و باز می کند تا بدافزار پنهان را فعال کند. محققین پیتر گیرنوس و علی اکبر زهراوی وجود یک لودر PowerShell مبهم و یک باینری خرد C# رمزگذاری شده در بارگذار دسته ای را برجسته کردند. در نهایت، Jlaive از BatCloak به عنوان یک موتور مبهم سازی فایل برای محافظت از بارگذار دسته ای استفاده می کند و آن را روی یک دیسک ذخیره می کند.

ScrubCrypt: تکامل بعدی BatCloak

BatCloak، یک موتور مبهم‌سازی بدافزار بسیار پویا، از زمان ظهور اولیه، دستخوش پیشرفت‌ها و سازگاری‌های قابل توجهی شده است. یکی از تکرارهای اخیر آن که به نام ScrubCrypt شناخته می‌شود، زمانی مورد توجه قرار گرفت که آزمایشگاه Fortinet FortiGuard آن را به یک کمپین سرقت رمزنگاری که توسط گروه بدنام 8220 سازماندهی شده بود متصل کرد. تصمیم توسعه‌دهنده برای انتقال از یک چارچوب منبع باز به یک مدل منبع بسته با انگیزه موفقیت‌های سرمایه‌گذاری قبلی مانند Jlaive و هدف کسب درآمد از پروژه و محافظت از آن در برابر تکرار غیرمجاز بود.

محققان ادعا می‌کنند که ScrubCrypt به‌طور یکپارچه با خانواده‌های مختلف بدافزار برجسته، از جمله Amadey ، AsyncRAT ، DarkCrystal RAT ، Pure Miner، Quasar RAT ، RedLine Stealer ، Remcos RAT ، SmokeLoader ، VenomRAT و Warzone RAT یکپارچه می‌شود. این تکامل BatCloak سازگاری و تطبیق پذیری آن را به عنوان یک مبهم کننده دسته ای قدرتمند FUD نشان می دهد، که بر شیوع آن در چشم انداز تهدید همیشه در حال تکامل تأکید می کند.