Liberando o Poder do Mecanismo BatCloak: Os Cibercriminosos Obtiveram Total Sigilo sobre o Malware
Desde setembro de 2022, os cibercriminosos têm utilizado o BatCloak, um mecanismo de ofuscação de malware poderoso e totalmente indetectável (FUD), para implantar uma variedade de variedades de malware. Apesar dos esforços persistentes do software antivírus, o BatCloak conseguiu escapar da detecção, permitindo que os agentes de ameaças carreguem várias famílias de malware e explorações por meio de arquivos em lote fortemente ofuscados. De acordo com pesquisadores da Trend Micro, dos 784 artefatos descobertos, 79,6% alarmantes permanecem não detectados por todas as soluções de segurança, ressaltando a eficácia do BatCloak em contornar os mecanismos de detecção tradicionais.
Índice
A Mecânica do BatCloak Engine
Jlaive, um criador de arquivos em lote pronto para uso, conta com o poderoso mecanismo BatCloak para evasão de segurança avançada. Ele pode ignorar a Antimalware Scan Interface (AMSI), criptografar e compactar cargas úteis e serve como um "criptografador de EXE para BAT". Embora a ferramenta de código aberto tenha desaparecido do GitHub e do GitLab logo após seu lançamento pela ch2sh em setembro de 2022, outros atores clonaram, modificaram e até portaram para o Rust. A carga útil final está oculta em três camadas de carregador: um carregador C#, um carregador PowerShell e um carregador em lote. Este carregador de lote, o ponto de partida, decodifica e descompacta cada estágio para ativar o malware oculto. Os pesquisadores Peter Girnus e Aliakbar Zahravi destacaram a presença de um carregador PowerShell ofuscado e um binário C# stub criptografado no carregador de lote. Por fim, o Jlaive aproveita o BatCloak como um mecanismo de ofuscação de arquivos para proteger o carregador de lote, armazenando-o em um disco.
ScrubCrypt: A Próxima Evolução do BatCloak
O BatCloak, um mecanismo de ofuscação de malware altamente dinâmico, passou por avanços e adaptações significativos desde seu surgimento inicial. Uma de suas iterações recentes, conhecida como ScrubCrypt, ganhou atenção quando o Fortinet FortiGuard Labs o conectou a uma campanha de cryptojacking orquestrada pela notória 8220 Gang. A decisão do desenvolvedor de fazer a transição de uma estrutura de código aberto para um modelo de código fechado foi motivada pelo sucesso de empreendimentos anteriores como o Jlaive e o objetivo de monetizar o projeto e protegê-lo contra replicação não autorizada. Os pesquisadores afirmam que o ScrubCrypt se integra perfeitamente a várias famílias proeminentes de malware, incluindo Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT e Warzone RAT. Essa evolução do BatCloak exemplifica sua adaptabilidade e versatilidade como um poderoso ofuscador de lote FUD, ressaltando sua prevalência no cenário de ameaças em constante evolução.
Liberando o Poder do Mecanismo BatCloak: Os Cibercriminosos Obtiveram Total Sigilo sobre o Malware capturas de tela
