Uwalnianie mocy silnika BatCloak: cyberprzestępcy osiągają pełną zdolność ukrywania się przed złośliwym oprogramowaniem

Od września 2022 r. cyberprzestępcy wykorzystują BatCloak, potężny iw pełni niewykrywalny silnik zaciemniania szkodliwego oprogramowania (FUD), do wdrażania szeregu odmian złośliwego oprogramowania. Pomimo nieustannych wysiłków oprogramowania antywirusowego, BatCloak zdołał uniknąć wykrycia, umożliwiając cyberprzestępcom bezproblemowe ładowanie różnych rodzin złośliwego oprogramowania i exploitów za pomocą mocno zaciemnionych plików wsadowych.

Według naukowców z firmy Trend Micro spośród 784 wykrytych artefaktów alarmujące 79,6% pozostaje niewykrytych przez wszystkie rozwiązania zabezpieczające, co podkreśla skuteczność BatCloak w omijaniu tradycyjnych mechanizmów wykrywania.

Mechanika w silniku BatCloak

Jlaive, gotowe narzędzie do tworzenia plików wsadowych, opiera się na potężnym silniku BatCloak w celu zaawansowanego unikania zabezpieczeń. Może ominąć interfejs Antimalware Scan Interface (AMSI), szyfrować i kompresować ładunki oraz służy jako „szyfrator EXE do BAT”.

Chociaż narzędzie typu open source zniknęło z GitHub i GitLab wkrótce po jego wydaniu przez ch2sh we wrześniu 2022 r., inni aktorzy sklonowali, zmodyfikowali, a nawet przenieśli do Rusta. Ostateczny ładunek jest ukryty w trzech warstwach modułu ładującego: moduł ładujący języka C#, moduł ładujący programu PowerShell i moduł ładujący wsadowy. Ten program ładujący wsadowy, będący punktem wyjścia, dekoduje i rozpakowuje każdy etap, aby aktywować ukryte złośliwe oprogramowanie. Badacze Peter Girnus i Aliakbar Zahravi zwrócili uwagę na obecność zaciemnionego programu ładującego PowerShell i zaszyfrowanego pliku binarnego kodu pośredniczącego C# w module ładującym wsadowym. Ostatecznie Jlaive wykorzystuje BatCloak jako silnik zaciemniania plików, aby chronić program ładujący wsad, przechowując go na dysku.

ScrubCrypt: Następna ewolucja BatCloak

BatCloak, wysoce dynamiczny silnik zaciemniania złośliwego oprogramowania, przeszedł znaczne ulepszenia i adaptacje od czasu jego pierwszego pojawienia się. Jedna z jego ostatnich iteracji, znana jako ScrubCrypt, zwróciła na siebie uwagę, gdy Fortinet FortiGuard Labs połączył ją z kampanią cryptojackingu zorganizowaną przez cieszący się złą sławą Gang 8220. Decyzja dewelopera o przejściu z platformy open source na model zamkniętego źródła była motywowana sukcesami poprzednich przedsięwzięć, takich jak Jlaive, oraz celem spieniężenia projektu i zabezpieczenia go przed nieautoryzowaną replikacją.

Badacze twierdzą, że ScrubCrypt bezproblemowo integruje się z różnymi popularnymi rodzinami złośliwego oprogramowania, w tym Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT i Warzone RAT . Ta ewolucja BatCloak jest przykładem jego zdolności adaptacyjnych i wszechstronności jako potężnego zaciemniacza wsadowego FUD, podkreślając jego przewagę w stale ewoluującym krajobrazie zagrożeń.