ब्याटक्लोक इञ्जिनको शक्ति जारी गर्दै: साइबर अपराधीहरूले पूर्ण मालवेयर स्टिल्थ प्राप्त गर्छन्

सेप्टेम्बर २०२२ देखि, साइबर अपराधीहरूले ब्याटक्लोक प्रयोग गर्दै आएका छन्, एक शक्तिशाली र पूर्ण रूपमा पत्ता लगाउन नसकिने (FUD) मालवेयर ओफस्केशन इन्जिन, मालवेयर स्ट्रेनहरूको दायरा तैनात गर्न। एन्टिभाइरस सफ्टवेयर द्वारा लगातार प्रयासहरूको बावजुद, BatCloak ले पत्ता लगाउनबाट बच्न व्यवस्थित गरेको छ, खतरा अभिनेताहरूलाई निर्बाध रूपमा विभिन्न मालवेयर परिवारहरू लोड गर्न र भारी अस्पष्ट ब्याच फाइलहरू मार्फत शोषण गर्न सक्षम पार्दै।

ट्रेन्ड माइक्रोका अन्वेषकहरूका अनुसार, फेला परेका ७८४ कलाकृतिहरू मध्ये, डरलाग्दो 79.6% सबै सुरक्षा समाधानहरूद्वारा पत्ता नलागेको छ, जसले परम्परागत पत्ता लगाउने संयन्त्रहरूलाई बाइपास गर्नमा ब्याटक्लोकको प्रभावकारितालाई जोड दिन्छ।

ब्याटक्लोक इन्जिनमा मेकानिक्स

Jlaive, एक अफ-द-शेल्फ ब्याच फाइल निर्माणकर्ता, उन्नत सुरक्षा चोरीको लागि शक्तिशाली BatCloak इन्जिनमा निर्भर गर्दछ। यसले Antimalware स्क्यान इन्टरफेस (AMSI) लाई बाइपास गर्न सक्छ, पेलोडहरू इन्क्रिप्ट र कम्प्रेस गर्न सक्छ, र "EXE to BAT crypter" को रूपमा कार्य गर्दछ।

यद्यपि खुला स्रोत उपकरण GitHub र GitLab बाट सेप्टेम्बर 2022 मा ch2sh द्वारा रिलीज भएको लगत्तै हरायो, अन्य अभिनेताहरूले क्लोन, परिमार्जन र रस्टमा पोर्ट गरेका छन्। अन्तिम पेलोड तीन लोडर तहहरू भित्र लुकाइएको छ: एक C# लोडर, एक PowerShell लोडर, र ब्याच लोडर। यो ब्याच लोडर, सुरु बिन्दु, लुकेको मालवेयर सक्रिय गर्न प्रत्येक चरण डिकोड र अनप्याक गर्दछ। अनुसन्धानकर्ता पिटर गिरनस र अलियाकबर जाहरावीले ब्याच लोडर भित्र अस्पष्ट पावरशेल लोडर र एन्क्रिप्टेड C# स्टब बाइनरीको उपस्थितिलाई हाइलाइट गरे। अन्ततः, Jlaive ले ब्याच लोडरलाई डिस्कमा भण्डारण गर्दै, ब्याच लोडरलाई सुरक्षित गर्नको लागि फाइल अस्पष्टता इन्जिनको रूपमा ब्याटक्लोकको लाभ उठाउँछ।

ScrubCrypt: BatCloak को अर्को विकास

BatCloak, एक उच्च गतिशील मालवेयर अस्पष्ट ईन्जिन, यसको प्रारम्भिक उदय देखि महत्वपूर्ण प्रगति र अनुकूलन गुजरेको छ। यसको हालैको पुनरावृत्तिहरू मध्ये एक, ScrubCrypt को रूपमा चिनिन्छ, फोर्टिनेट फोर्टिगार्ड ल्याबहरूले यसलाई कुख्यात 8220 गिरोह द्वारा आयोजित क्रिप्टोज्याकिंग अभियानमा जडान गर्दा ध्यान प्राप्त भयो। खुला स्रोत ढाँचाबाट बन्द-स्रोत मोडेलमा संक्रमण गर्ने विकासकर्ताको निर्णय Jlaive जस्ता अघिल्लो उद्यमहरूको सफलता र परियोजनालाई मुद्रीकरण गर्ने र यसलाई अनधिकृत प्रतिकृति विरुद्ध सुरक्षित गर्ने उद्देश्यले प्रेरित थियो।

अन्वेषकहरूले दावी गर्छन् कि ScrubCrypt निर्बाध रूपमा Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT , र Warzone RAT लगायत विभिन्न प्रमुख मालवेयर परिवारहरूसँग एकीकृत हुन्छ। BatCloak को यो विकास एक शक्तिशाली FUD ब्याच obfuscator को रूप मा यसको अनुकूलनता र बहुमुखी प्रतिभा को उदाहरण दिन्छ, सधैं विकसित खतरा परिदृश्य मा यसको व्यापकता रेखांकित गर्दछ।