BatCloak Enginen voiman vapauttaminen: Kyberrikolliset saavuttavat täydellisen haittaohjelmien salailun

Syyskuusta 2022 lähtien kyberrikolliset ovat käyttäneet BatCloakia, tehokasta ja täysin havaitsematonta (FUD) haittaohjelmien hämärtymismoottoria, ottaakseen käyttöön erilaisia haittaohjelmia. Huolimatta virustentorjuntaohjelmiston sitkeistä ponnisteluista BatCloak on onnistunut välttämään havaitsemisen, mikä mahdollistaa uhkatekijöiden lataamisen saumattomasti erilaisiin haittaohjelmaperheisiin ja hyväksikäyttöihin voimakkaasti hämärtyneiden erätiedostojen kautta.

Trend Micron tutkijoiden mukaan 784 löydetystä esineestä hälyttävät 79,6 % jää huomaamatta kaikille tietoturvaratkaisuille, mikä korostaa BatCloakin tehokkuutta ohittaa perinteiset tunnistusmekanismit.

BatCloak Enginen mekaniikka

Jlaive, valmis erätiedostojen rakentaja, luottaa tehokkaaseen BatCloak-moottoriin edistyneeseen tietoturvan kiertämiseen. Se voi ohittaa Antimalware Scan Interfacen (AMSI), salata ja pakata hyötykuormat ja toimii "EXE-BAT-salauksena".

Vaikka avoimen lähdekoodin työkalu katosi GitHubista ja GitLabista pian sen jälkeen, kun ch2sh julkaisi sen syyskuussa 2022, muut toimijat ovat kloonaaneet, muokanneet ja jopa siirtäneet Rustiin. Lopullinen hyötykuorma on kätkettynä kolmeen latauskerrokseen: C#-lataajaan, PowerShell-lataajaan ja erälataajaan. Tämä erälatausohjelma, lähtökohta, purkaa ja purkaa jokaisen vaiheen piilotetun haittaohjelman aktivoimiseksi. Tutkijat Peter Girnus ja Aliakbar Zahravi korostivat, että erälatausohjelmassa on hämärtynyt PowerShell-lataaja ja salattu C#-kantabinaari. Viime kädessä Jlaive hyödyntää BatCloakia tiedostojen hämärtymismoottorina suojatakseen erälatausohjelmaa ja tallentaa sen levylle.

ScrubCrypt: BatCloakin seuraava kehitys

BatCloak, erittäin dynaaminen haittaohjelmien hämärtymismoottori, on kokenut merkittäviä edistysaskeleita ja mukautuksia alkuperäisen ilmestymisensä jälkeen. Yksi sen viimeaikaisista iteraatioista, joka tunnetaan nimellä ScrubCrypt, sai huomiota, kun Fortinet FortiGuard Labs yhdisti sen pahamaineisen 8220 Gangin järjestämään kryptojacking-kampanjaan. Kehittäjän päätös siirtyä avoimen lähdekoodin kehyksestä suljetun lähdekoodin malliin johtui aiempien hankkeiden, kuten Jlaiven, menestyksestä ja tavoitteesta rahallistaa projekti ja suojata se luvattomalta replikaatiolta.

Tutkijat väittävät, että ScrubCrypt integroituu saumattomasti useisiin merkittäviin haittaohjelmaperheisiin, mukaan lukien Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT ja Warzone RAT . Tämä BatCloakin evoluutio on esimerkki sen sopeutumiskyvystä ja monipuolisuudesta tehokkaana FUD-sarjan hämärälaitteena, mikä korostaa sen yleisyyttä jatkuvasti kehittyvässä uhkakuvassa.