Išlaisvinkite „BatCloak“ variklio galią: kibernetiniai nusikaltėliai pasiekia visišką kenkėjiškų programų slaptumą

Nuo 2022 m. rugsėjo mėn. kibernetiniai nusikaltėliai naudoja „BatCloak“ – galingą ir visiškai neaptinkamą (FUD) kenkėjiškų programų užmaskavimo variklį, kad įdiegtų daugybę kenkėjiškų programų. Nepaisant nuolatinių antivirusinės programinės įrangos pastangų, „BatCloak“ sugebėjo išvengti aptikimo, o tai leido grėsmės veikėjams sklandžiai įkelti įvairias kenkėjiškų programų šeimas ir išnaudojimus per labai užmaskuotus paketinius failus.

Pasak „Trend Micro“ tyrėjų, iš 784 aptiktų artefaktų nerimą keliantys 79,6 % lieka nepastebėti jokiais saugumo sprendimais, o tai pabrėžia „BatCloak“ veiksmingumą apeinant tradicinius aptikimo mechanizmus.

„BatCloak“ variklio mechanika

„Jlaive“, paruoštas paketinių failų kūrėjas, naudojasi galingu „BatCloak“ varikliu, kad išvengtų pažangaus saugumo. Jis gali apeiti antimalware nuskaitymo sąsają (AMSI), užšifruoti ir suspausti naudingąsias apkrovas ir tarnauja kaip „EXE to BAT šifravimo priemonė“.

Nors atvirojo kodo įrankis dingo iš GitHub ir GitLab netrukus po to, kai jį išleido ch2sh 2022 m. rugsėjį, kiti veikėjai klonavo, modifikavo ir net perkėlė į Rust. Galutinė naudingoji apkrova yra paslėpta trijuose kroviklio sluoksniuose: C# krautuvas, PowerShell krautuvas ir paketinis krautuvas. Šis paketinis įkroviklis, pradinis taškas, iššifruoja ir išpakuoja kiekvieną etapą, kad suaktyvintų paslėptą kenkėjišką programą. Tyrėjai Peteris Girnus ir Aliakbar Zahravi pabrėžė, kad paketiniame įkroviklyje yra užmaskuotas „PowerShell“ įkroviklis ir užšifruotas dvejetainis C#. Galiausiai „Jlaive“ naudoja „BatCloak“ kaip failų užmaskavimo variklį, kad apsaugotų paketinį įkroviklį ir saugo jį diske.

ScrubCrypt: kita BatCloak evoliucija

„BatCloak“, labai dinamiškas kenkėjiškų programų užmaskavimo variklis, nuo pat jo atsiradimo buvo gerokai patobulintas ir pritaikytas. Viena iš naujausių jos pakartojimų, žinoma kaip „ScrubCrypt“, sulaukė dėmesio, kai „Fortinet FortiGuard Labs“ sujungė ją su kriptovaliutų keitimo kampanija, kurią organizavo liūdnai pagarsėjusi „8220 Gang“. Kūrėjo sprendimą pereiti nuo atvirojo kodo sistemos prie uždarojo kodo modelio paskatino ankstesnių įmonių, tokių kaip „Jlaive“, sėkmė ir tikslas užsidirbti pinigų iš projekto ir apsaugoti jį nuo neteisėto atkartojimo.

Tyrėjai tvirtina, kad ScrubCrypt sklandžiai integruojasi su įvairiomis žinomomis kenkėjiškų programų šeimomis, įskaitant Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT ir Warzone RAT . Ši „BatCloak“ evoliucija parodo jos, kaip galingo FUD paketinio obfuskatoriaus, pritaikomumą ir universalumą, pabrėžiant jos paplitimą nuolat besikeičiančiame grėsmių pasaulyje.