Liberare la potenza del motore BatCloak: i criminali informatici raggiungono la completa invisibilità del malware
Da settembre 2022, i criminali informatici utilizzano BatCloak, un motore di offuscamento del malware potente e completamente non rilevabile (FUD), per distribuire una serie di ceppi di malware. Nonostante gli sforzi persistenti del software antivirus, BatCloak è riuscito a eludere il rilevamento, consentendo agli attori delle minacce di caricare senza problemi varie famiglie di malware ed exploit attraverso file batch fortemente offuscati.
Secondo i ricercatori di Trend Micro, dei 784 artefatti scoperti, un allarmante 79,6% non viene rilevato da tutte le soluzioni di sicurezza, sottolineando l'efficacia di BatCloak nell'eludere i tradizionali meccanismi di rilevamento.
Le meccaniche nel motore BatCloak
Jlaive, un generatore di file batch pronto all'uso, si affida al potente motore BatCloak per l'evasione avanzata della sicurezza. Può bypassare l'Antimalware Scan Interface (AMSI), crittografare e comprimere i payload e fungere da "Cryptatore da EXE a BAT".
Sebbene lo strumento open source sia scomparso da GitHub e GitLab poco dopo il suo rilascio da parte di ch2sh nel settembre 2022, altri attori lo hanno clonato, modificato e persino portato su Rust. Il payload finale è nascosto all'interno di tre livelli di caricamento: un caricatore C#, un caricatore PowerShell e un caricatore batch. Questo caricatore batch, il punto di partenza, decodifica e decomprime ogni fase per attivare il malware nascosto. I ricercatori Peter Girnus e Aliakbar Zahravi hanno evidenziato la presenza di un caricatore di PowerShell offuscato e di un binario stub C# crittografato all'interno del caricatore batch. In definitiva, Jlaive sfrutta BatCloak come motore di offuscamento dei file per proteggere il caricatore batch, memorizzandolo su un disco.
ScrubCrypt: la prossima evoluzione di BatCloak
BatCloak, un motore di offuscamento del malware altamente dinamico, ha subito significativi progressi e adattamenti sin dalla sua comparsa iniziale. Una delle sue recenti iterazioni, nota come ScrubCrypt, ha attirato l'attenzione quando Fortinet FortiGuard Labs l'ha collegata a una campagna di cryptojacking orchestrata dal famigerato 8220 Gang. La decisione dello sviluppatore di passare da un framework open source a un modello closed source è stata motivata dai successi di iniziative precedenti come Jlaive e dall'obiettivo di monetizzare il progetto e salvaguardarlo da repliche non autorizzate.
I ricercatori affermano che ScrubCrypt si integra perfettamente con varie importanti famiglie di malware, tra cui Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT e Warzone RAT . Questa evoluzione di BatCloak esemplifica la sua adattabilità e versatilità come potente offuscatore batch FUD, sottolineando la sua prevalenza nel panorama delle minacce in continua evoluzione.