BatCloak dzinēja jaudas atraisīšana: kibernoziedznieki panāk pilnīgu ļaunprātīgas programmatūras slēpšanu

Kopš 2022. gada septembra kibernoziedznieki ir izmantojuši BatCloak — jaudīgu un pilnībā nenosakāmu (FUD) ļaunprātīgas programmatūras apmulsināšanas dzinēju, lai izvietotu virkni ļaunprātīgas programmatūras celmu. Neraugoties uz pretvīrusu programmatūras neatlaidīgiem centieniem, BatCloak ir izdevies izvairīties no atklāšanas, ļaujot apdraudējuma dalībniekiem nemanāmi ielādēt dažādas ļaunprātīgas programmatūras saimes un ļaunprātīgas izmantošanas, izmantojot ļoti neskaidrus pakešfailus.

Pēc Trend Micro pētnieku domām, no 784 atklātajiem artefaktiem satraucoši 79,6% joprojām nav atklāti visiem drošības risinājumiem, uzsverot BatCloak efektivitāti tradicionālo noteikšanas mehānismu apiešanā.

Mehānika BatCloak dzinējā

Jlaive, gatavu sērijveida failu veidotājs, paļaujas uz jaudīgo BatCloak dzinēju, lai uzlabotu izvairīšanos no drošības. Tas var apiet Antimalware Scan Interface (AMSI), šifrēt un saspiest lietderīgās slodzes un kalpo kā "EXE uz BAT šifrētājs".

Lai gan atvērtā pirmkoda rīks pazuda no GitHub un GitLab īsi pēc tā izlaišanas ch2sh 2022. gada septembrī, citi dalībnieki ir klonējuši, modificējuši un pat pārnesuši uz Rust. Galīgā kravnesība ir paslēpta trīs iekrāvēja slāņos: C# iekrāvējs, PowerShell iekrāvējs un pakešu iekrāvējs. Šis pakešu ielādētājs, sākuma punkts, atkodē un izpako katru posmu, lai aktivizētu slēpto ļaunprogrammatūru. Pētnieki Pīters Girnuss un Aliakbars Zahravi uzsvēra neskaidra PowerShell ielādētāja un šifrēta C# stub bināra klātbūtni pakešu ielādētājā. Galu galā Jlaive izmanto BatCloak kā failu aptumšošanas dzinēju, lai aizsargātu pakešu ielādētāju, saglabājot to diskā.

ScrubCrypt: nākamā BatCloak evolūcija

BatCloak, ļoti dinamisks ļaunprātīgas programmatūras apmulsināšanas dzinējs, kopš tā sākotnējās parādīšanās ir ticis ievērojami uzlabots un pielāgots. Viena no tās nesenajām iterācijām, kas pazīstama kā ScrubCrypt, ieguva uzmanību, kad Fortinet FortiGuard Labs to savienoja ar bēdīgi slavenā 8220 Gang organizēto kriptovalūtu izņemšanas kampaņu. Izstrādātāja lēmumu pāriet no atvērtā pirmkoda ietvara uz slēgtā pirmkoda modeli motivēja iepriekšējo uzņēmumu, piemēram, Jlaive, panākumi un mērķis monetizēt projektu un aizsargāt to pret nesankcionētu replikāciju.

Pētnieki apgalvo, ka ScrubCrypt nemanāmi integrējas ar dažādām ievērojamām ļaunprātīgas programmatūras ģimenēm, tostarp Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT un Warzone RAT . Šī BatCloak evolūcija ilustrē tā pielāgošanās spēju un daudzpusību kā jaudīgu FUD sērijveida obfuskatoru, uzsverot tā izplatību nepārtraukti mainīgajā draudu vidē.