Melepaskan Kuasa Enjin BatCloak: Penjenayah Siber Mencapai Stealth Malware yang Lengkap

Sejak September 2022, penjenayah siber telah menggunakan BatCloak, enjin penyamaran perisian hasad (FUD) yang berkuasa dan tidak dapat dikesan sepenuhnya, untuk menggunakan pelbagai jenis perisian hasad. Walaupun usaha berterusan oleh perisian antivirus, BatCloak telah berjaya mengelak pengesanan, membolehkan pelaku ancaman memuatkan pelbagai keluarga perisian hasad dengan lancar dan mengeksploitasi melalui fail kelompok yang sangat dikaburkan.

Menurut penyelidik di Trend Micro, daripada 784 artifak yang ditemui, 79.6% yang membimbangkan masih tidak dapat dikesan oleh semua penyelesaian keselamatan, menekankan keberkesanan BatCloak dalam memintas mekanisme pengesanan tradisional.

Mekanik dalam Enjin BatCloak

Jlaive, pembina fail kumpulan luar biasa, bergantung pada enjin BatCloak yang berkuasa untuk pengelakan keselamatan lanjutan. Ia boleh memintas Antara Muka Imbasan Antimalware (AMSI), menyulitkan dan memampatkan muatan, dan berfungsi sebagai "EXE to BAT crypter."

Walaupun alat sumber terbuka hilang daripada GitHub dan GitLab sejurus selepas dikeluarkan oleh ch2sh pada September 2022, pelakon lain telah mengklon, mengubah suai dan juga dialihkan ke Rust. Muatan akhir terletak tersembunyi dalam tiga lapisan pemuat: pemuat C#, pemuat PowerShell dan pemuat kelompok. Pemuat kelompok ini, titik permulaan, menyahkod dan membongkar setiap peringkat untuk mengaktifkan perisian hasad tersembunyi. Penyelidik Peter Girnus dan Aliakbar Zahravi menyerlahkan kehadiran pemuat PowerShell yang dikelirukan dan perduaan rintisan C# yang disulitkan dalam pemuat kelompok. Akhirnya, Jlaive memanfaatkan BatCloak sebagai enjin pengeliruan fail untuk melindungi pemuat kelompok, menyimpannya pada cakera.

ScrubCrypt: Evolusi Seterusnya BatCloak

BatCloak, enjin pengeliruan perisian hasad yang sangat dinamik, telah mengalami kemajuan dan penyesuaian yang ketara sejak kemunculan awalnya. Salah satu lelaran baru-baru ini, dikenali sebagai ScrubCrypt, mendapat perhatian apabila Fortinet FortiGuard Labs menghubungkannya dengan kempen cryptojacking yang didalangi oleh Geng 8220 yang terkenal. Keputusan pembangun untuk beralih daripada rangka kerja sumber terbuka kepada model sumber tertutup didorong oleh kejayaan usaha niaga terdahulu seperti Jlaive dan objektif untuk mengewangkan projek dan melindunginya daripada replikasi yang tidak dibenarkan.

Penyelidik menegaskan bahawa ScrubCrypt menyepadukan dengan lancar dengan pelbagai keluarga perisian hasad yang terkenal, termasuk Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT dan Warzone RAT . Evolusi BatCloak ini menunjukkan kebolehsuaian dan kepelbagaiannya sebagai pengelap kumpulan FUD yang berkuasa, menekankan kelazimannya dalam landskap ancaman yang sentiasa berkembang.