Oslobađanje snage BatCloak Enginea: Cyberkriminalci postižu potpunu nevidljivost zlonamjernog softvera

Od rujna 2022. kibernetički kriminalci koriste BatCloak, snažan i potpuno nedetektabilan (FUD) mehanizam za maskiranje zlonamjernog softvera, za implementaciju niza vrsta zlonamjernog softvera. Unatoč upornim naporima antivirusnog softvera, BatCloak je uspio izbjeći otkrivanje, omogućujući akterima prijetnji da neprimjetno učitavaju različite obitelji zlonamjernog softvera i eksploatacije putem jako zamagljenih batch datoteka.

Prema istraživačima tvrtke Trend Micro, od 784 otkrivena artefakta, alarmantnih 79,6% ostaje neotkriveno svim sigurnosnim rješenjima, naglašavajući učinkovitost BatCloaka u zaobilaženju tradicionalnih mehanizama otkrivanja.

Mehanika u BatCloak Engineu

Jlaive, gotov program za izradu skupnih datoteka, oslanja se na moćni BatCloak mehanizam za napredno izbjegavanje sigurnosti. Može zaobići sučelje za skeniranje antimalwarea (AMSI), šifrirati i komprimirati korisne podatke i služi kao "EXE u BAT crypter."

Iako je alat otvorenog koda nestao s GitHuba i GitLaba nedugo nakon što ga je ch2sh objavio u rujnu 2022., drugi su akteri klonirali, modificirali i čak prenijeli na Rust. Konačni korisni teret leži skriven unutar tri sloja učitavača: učitavač C#, učitavač PowerShell i skupni učitavač. Ovaj batch loader, početna točka, dekodira i raspakira svaku fazu kako bi aktivirao skriveni zlonamjerni softver. Istraživači Peter Girnus i Aliakbar Zahravi istaknuli su prisutnost maskiranog PowerShell učitavača i šifrirane C# stub binarne datoteke unutar paketnog učitavača. U konačnici, Jlaive koristi BatCloak kao mehanizam za maskiranje datoteka kako bi zaštitio skupni učitavač, pohranjujući ga na disk.

ScrubCrypt: Sljedeća evolucija BatCloaka

BatCloak, vrlo dinamičan mehanizam za maskiranje zlonamjernog softvera, doživio je značajna poboljšanja i prilagodbe od svog početnog pojavljivanja. Jedna od njegovih nedavnih iteracija, poznata kao ScrubCrypt, privukla je pažnju kada ju je Fortinet FortiGuard Labs povezao s kampanjom kriptovaluta koju je orkestrirala ozloglašena banda 8220. Odluka razvojnog programera da prijeđe s okvira otvorenog koda na model zatvorenog koda bila je motivirana uspjesima prethodnih pothvata kao što je Jlaive i ciljem unovčavanja projekta i njegove zaštite od neovlaštenog kopiranja.

Istraživači tvrde da se ScrubCrypt neprimjetno integrira s raznim istaknutim obiteljima zlonamjernog softvera, uključujući Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT i Warzone RAT . Ova evolucija BatCloaka predstavlja primjer njegove prilagodljivosti i svestranosti kao moćnog FUD skupnog maskatora, naglašavajući njegovu prevalenciju u okruženju prijetnji koje se stalno razvija.