Ontketen de kracht van de BatCloak-engine: cybercriminelen bereiken volledige malware-stealth

Sinds september 2022 gebruiken cybercriminelen BatCloak, een krachtige en volledig niet-detecteerbare (FUD) malware-obfuscatie-engine, om een reeks malwaresoorten in te zetten. Ondanks aanhoudende inspanningen van antivirussoftware is BatCloak erin geslaagd om detectie te omzeilen, waardoor bedreigingsactoren naadloos verschillende malwarefamilies en exploits kunnen laden via zwaar versluierde batchbestanden.

Volgens onderzoekers van Trend Micro blijft van de 784 ontdekte artefacten een alarmerende 79,6% onopgemerkt door alle beveiligingsoplossingen, wat de effectiviteit van BatCloak in het omzeilen van traditionele detectiemechanismen onderstreept.

De mechanica in de BatCloak Engine

Jlaive, een kant-en-klare batchbestandsbouwer, vertrouwt op de krachtige BatCloak-engine voor geavanceerde beveiligingsontduiking. Het kan de Antimalware Scan Interface (AMSI) omzeilen, payloads versleutelen en comprimeren en dient als een "EXE naar BAT crypter".

Hoewel de open-source tool kort na de release door ch2sh in september 2022 verdween uit GitHub en GitLab, hebben andere actoren gekloond, aangepast en zelfs geporteerd naar Rust. De uiteindelijke payload ligt verborgen in drie laderlagen: een C#-lader, een PowerShell-lader en een batchlader. Deze batchlader, het startpunt, decodeert en pakt elke fase uit om de verborgen malware te activeren. Onderzoekers Peter Girnus en Aliakbar Zahravi benadrukten de aanwezigheid van een versluierde PowerShell-lader en een versleuteld C#-stub-binair bestand in de batchlader. Uiteindelijk gebruikt Jlaive BatCloak als een engine voor het verbergen van bestanden om de batchlader te beschermen en deze op een schijf op te slaan.

ScrubCrypt: de volgende evolutie van BatCloak

BatCloak, een zeer dynamische engine voor het verbergen van malware, heeft sinds zijn eerste opkomst aanzienlijke verbeteringen en aanpassingen ondergaan. Een van zijn recente iteraties, bekend als ScrubCrypt, kreeg aandacht toen Fortinet FortiGuard Labs het verbond met een cryptojacking-campagne georkestreerd door de beruchte 8220 Gang. De beslissing van de ontwikkelaar om over te stappen van een open-sourceframework naar een closed-sourcemodel werd ingegeven door de successen van eerdere ondernemingen zoals Jlaive en de doelstelling om geld te verdienen met het project en het te beschermen tegen ongeoorloofde replicatie.

Onderzoekers beweren dat ScrubCrypt naadloos integreert met verschillende prominente malwarefamilies, waaronder Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT en Warzone RAT . Deze evolutie van BatCloak is een voorbeeld van zijn aanpassingsvermogen en veelzijdigheid als een krachtige FUD-batch-obfuscator, wat de prevalentie ervan in het steeds evoluerende bedreigingslandschap onderstreept.