Slipp løs kraften til BatCloak Engine: Cyberkriminelle oppnår fullstendig skadelig programvare
Siden september 2022 har nettkriminelle brukt BatCloak, en kraftig og fullstendig undetectable (FUD) malware obfuscation engine, for å distribuere en rekke malware-stammer. Til tross for vedvarende innsats fra antivirusprogramvare, har BatCloak klart å unndra seg oppdagelse, noe som gjør det mulig for trusselaktører å sømløst laste ulike malware-familier og utnyttelser gjennom sterkt skjulte batchfiler.
Ifølge forskere ved Trend Micro, av de 784 artefaktene som er oppdaget, forblir alarmerende 79,6 % uoppdaget av alle sikkerhetsløsninger, noe som understreker BatCloaks effektivitet i å omgå tradisjonelle deteksjonsmekanismer.
Mekanikken i BatCloak-motoren
Jlaive, en standard batchfilbygger, er avhengig av den kraftige BatCloak-motoren for avansert sikkerhetsunndragelse. Den kan omgå Antimalware Scan Interface (AMSI), kryptere og komprimere nyttelast, og fungerer som en "EXE til BAT-kryptering."
Selv om åpen kildekode-verktøyet ble borte fra GitHub og GitLab kort tid etter utgivelsen av ch2sh i september 2022, har andre aktører klonet, modifisert og til og med portert til Rust. Den endelige nyttelasten ligger skjult i tre lasterlag: en C#-laster, en PowerShell-laster og en batch-laster. Denne batch-lasteren, startpunktet, dekoder og pakker ut hvert trinn for å aktivere den skjulte skadelige programvaren. Forskerne Peter Girnus og Aliakbar Zahravi fremhevet tilstedeværelsen av en uklar PowerShell-laster og en kryptert C#-stubbinær i batch-lasteren. Til syvende og sist utnytter Jlaive BatCloak som en filobfuskeringsmotor for å beskytte batch-lasteren og lagre den på en disk.
ScrubCrypt: The Next Evolution of BatCloak
BatCloak, en svært dynamisk tilsløringsmotor for skadelig programvare, har gjennomgått betydelige fremskritt og tilpasninger siden dens første fremvekst. En av dens siste iterasjoner, kjent som ScrubCrypt, fikk oppmerksomhet da Fortinet FortiGuard Labs koblet den til en kryptojacking-kampanje orkestrert av den beryktede 8220-gjengen. Utviklerens beslutning om å gå over fra et rammeverk med åpen kildekode til en lukket kildekode-modell var motivert av suksessene til tidligere satsinger som Jlaive og målet om å tjene penger på prosjektet og beskytte det mot uautorisert replikering.
Forskere hevder at ScrubCrypt sømløst integreres med forskjellige fremtredende skadevarefamilier, inkludert Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT og Warzone RAT . Denne utviklingen av BatCloak eksemplifiserer dens tilpasningsevne og allsidighet som en kraftig FUD batch obfuscator, og understreker dens utbredelse i det stadig utviklende trussellandskapet.