A BatCloak Engine erejének felszabadítása: A kiberbűnözők teljes mértékben ellopják a rosszindulatú programokat

2022 szeptembere óta a kiberbűnözők a BatCloak-ot, egy nagy teljesítményű és teljesen észlelhetetlen (FUD) rosszindulatú programokat rejtő motort használnak a rosszindulatú programok széles skálájának telepítésére. A víruskereső szoftverek kitartó erőfeszítései ellenére a BatCloaknak sikerült elkerülnie az észlelést, lehetővé téve a fenyegetések szereplői számára, hogy zökkenőmentesen betöltsék a különféle rosszindulatú programcsaládokat és kihasználásokat az erősen homályos kötegfájlokon keresztül.

A Trend Micro kutatói szerint a 784 felfedezett műtermék riasztó 79,6%-át egyetlen biztonsági megoldás sem észleli, ami alátámasztja a BatCloak hatékonyságát a hagyományos észlelési mechanizmusok megkerülésében.

A mechanika a BatCloak motorban

A Jlaive, egy kész kötegfájl-készítő, a hatékony BatCloak motorra támaszkodik a fejlett biztonsági kijátszás érdekében. Képes megkerülni az Antimalware Scan Interface-t (AMSI), titkosítani és tömöríteni a hasznos adatokat, és "EXE-BAT titkosítóként" szolgál.

Bár a nyílt forráskódú eszköz nem sokkal azután, hogy a ch2sh 2022 szeptemberében megjelent, eltűnt a GitHubról és a GitLabról, más szereplők klónozták, módosították, sőt át is vitték a Rustba. A végső hasznos teher három betöltő rétegben van elrejtve: egy C#-betöltőben, egy PowerShell-betöltőben és egy kötegbetöltőben. Ez a kötegelt betöltő, a kiindulási pont, dekódolja és kicsomagolja az egyes szakaszokat, hogy aktiválja a rejtett rosszindulatú programokat. Peter Girnus és Aliakbar Zahravi kutatók kiemelték egy elhomályosított PowerShell betöltő és egy titkosított C# csonk bináris jelenlétét a kötegelt betöltőben. Végső soron a Jlaive a BatCloak-ot fájlelfedő motorként használja fel, hogy megvédje a kötegelt betöltőt, és lemezen tárolja.

ScrubCrypt: A BatCloak következő fejlődése

A BatCloak, egy rendkívül dinamikus rosszindulatú programokat elfedő motor, kezdeti megjelenése óta jelentős fejlődésen és adaptáción ment keresztül. Az egyik legutóbbi iterációja, a ScrubCrypt néven ismert, felkeltette a figyelmet, amikor a Fortinet FortiGuard Labs összekapcsolta a hírhedt 8220 Gang által szervezett kriptográfiai kampánysal. A fejlesztő döntését a nyílt forráskódú keretrendszerről a zárt forráskódú modellre való átállásra a korábbi vállalkozások, például a Jlaive sikerei motiválták, valamint a projekt pénzzé tételének és az illetéktelen replikáció elleni védelmének célja.

A kutatók azt állítják, hogy a ScrubCrypt zökkenőmentesen integrálódik különféle prominens rosszindulatú programcsaládokkal, köztük az Amadey-vel , az AsyncRAT -tal, a DarkCrystal RAT -tal, a Pure Miner-rel, a Quasar RAT-tal , a RedLine Stealer-rel , a Remcos RAT- tal, a SmokeLoader -rel, a VenomRAT -val és a Warzone RAT-tal . A BatCloak ezen evolúciója jól példázza az alkalmazkodóképességét és sokoldalúságát, mint egy nagy teljesítményű FUD kötegelt obfuszkátor, hangsúlyozva elterjedtségét a folyamatosan változó fenyegetési környezetben.