שחרור כוחו של מנוע BatCloak: פושעי סייבר משיגים התגנבות מלאה של תוכנות זדוניות

מאז ספטמבר 2022, פושעי סייבר משתמשים ב-BatCloak, מנוע ערפול תוכנות זדוניות חזק ובלתי ניתן לזיהוי (FUD), כדי לפרוס מגוון זני תוכנות זדוניות. למרות מאמצים מתמשכים של תוכנת אנטי-וירוס, BatCloak הצליחה להתחמק מזיהוי, מה שמאפשר לשחקני איומים לטעון בצורה חלקה משפחות שונות של תוכנות זדוניות וניצול באמצעות קבצי אצווה מעורפלים מאוד.

לפי חוקרים ב-Trend Micro, מתוך 784 החפצים שהתגלו, 79.6% מדאיגים נותרו בלתי מזוהים על ידי כל פתרונות האבטחה, מה שמדגיש את היעילות של BatCloak בעקוף מנגנוני זיהוי מסורתיים.

המכניקה במנוע Batcloak

Jlaive, בונה קבצי אצווה מהמדף, מסתמך על מנוע BatCloak החזק להתחמקות אבטחה מתקדמת. הוא יכול לעקוף את ממשק סריקה נגד תוכנות זדוניות (AMSI), להצפין ולדחוס מטענים, ומשמש כ-"EXE to BAT crypter".

למרות שכלי הקוד הפתוח נעלם מ-GitHub ו-GitLab זמן קצר לאחר שחרורו על ידי ch2sh בספטמבר 2022, שחקנים אחרים שיבטו, שינו ואפילו הועברו לרוסט. המטען הסופי חבוי בתוך שלוש שכבות מטעין: מטעין C#, מטעין PowerShell ומטעין אצווה. טוען אצווה זה, נקודת ההתחלה, מפענח ומפרק כל שלב כדי להפעיל את התוכנה הזדונית הנסתרת. החוקרים פיטר גירנוס ואליאקבר זהראווי הדגישו את נוכחותו של מטעין PowerShell מעורפל ו-C# stub בינארי מוצפן בתוך מטעין האצווה. בסופו של דבר, Jlaive ממנפת את BatCloak כמנוע ערפול קבצים כדי להגן על מטעין האצווה, מאחסן אותו על דיסק.

ScrubCrypt: האבולוציה הבאה של BatCloak

BatCloak, מנוע ערפול תוכנות זדוניות דינמיות במיוחד, עבר התקדמות והתאמות משמעותיות מאז הופעתו הראשונית. אחת האיטרציות האחרונות שלה, הידועה בשם ScrubCrypt, זכתה לתשומת לב כאשר Fortinet FortiGuard Labs חיברה אותה לקמפיין קריפטו-jacking שתוזמן על ידי כנופיית 8220 הידועה לשמצה. ההחלטה של היזם לעבור ממסגרת קוד פתוח למודל קוד סגור נבעה מהצלחות של מיזמים קודמים כמו Jlaive והמטרה לייצר רווח מהפרויקט ולהגן עליו מפני שכפול לא מורשה.

חוקרים טוענים כי ScrubCrypt משתלב בצורה חלקה עם משפחות תוכנות זדוניות בולטות שונות, כולל Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT ו- Warzone RAT . אבולוציה זו של BatCloak מדגימה את יכולת ההסתגלות והרבגוניות שלו כמערפל אצווה רב עוצמה של FUD, המדגישה את שכיחותו בנוף האיומים ההולך ומתפתח.