Dezlănțuirea puterii motorului BatCloak: infractorii cibernetici obțin o ascundere completă a malware-ului

Din septembrie 2022, infractorii cibernetici folosesc BatCloak, un motor puternic și complet nedetectabil (FUD) de ofucare a programelor malware, pentru a implementa o serie de tulpini de malware. În ciuda eforturilor persistente ale software-ului antivirus, BatCloak a reușit să evite detectarea, permițând actorilor de amenințări să încarce fără probleme diverse familii de malware și exploatări prin fișiere batch foarte ascunse.

Potrivit cercetătorilor de la Trend Micro, din cele 784 de artefacte descoperite, un alarmant 79,6% rămân nedetectate de toate soluțiile de securitate, subliniind eficiența BatCloak în ocolirea mecanismelor tradiționale de detectare.

Mecanica din motorul BatCloak

Jlaive, un generator de fișiere batch de la raft, se bazează pe puternicul motor BatCloak pentru evaziunea avansată a securității. Poate ocoli Interfața de scanare antimalware (AMSI), cripta și comprima încărcăturile utile și servește ca un „criptor EXE la BAT”.

Deși instrumentul open-source a dispărut din GitHub și GitLab la scurt timp după lansarea sa de către ch2sh în septembrie 2022, alți actori au clonat, modificat și chiar portat în Rust. Sarcina utilă finală se află ascunsă în trei straturi de încărcare: un încărcător C#, un încărcător PowerShell și un încărcător batch. Acest încărcător de lot, punctul de plecare, decodifică și despachetează fiecare etapă pentru a activa malware-ul ascuns. Cercetătorii Peter Girnus și Aliakbar Zahravi au evidențiat prezența unui încărcător PowerShell obscur și a unui cod binar C# stub în încărcătorul batch. În cele din urmă, Jlaive folosește BatCloak ca motor de ofuscare a fișierelor pentru a proteja încărcătorul batch, stocându-l pe un disc.

ScrubCrypt: Următoarea evoluție a BatCloak

BatCloak, un motor de ofuscare a malware-ului extrem de dinamic, a suferit progrese și adaptări semnificative de la apariția sa inițială. Una dintre iterațiile sale recente, cunoscută sub numele de ScrubCrypt, a atras atenția atunci când Fortinet FortiGuard Labs a conectat-o la o campanie de criptojacking orchestrată de faimoasa 8220 Gang. Decizia dezvoltatorului de a trece de la un cadru open-source la un model cu sursă închisă a fost motivată de succesele unor proiecte anterioare precum Jlaive și de obiectivul de a monetiza proiectul și de a-l proteja împotriva replicării neautorizate.

Cercetătorii susțin că ScrubCrypt se integrează perfect cu diverse familii proeminente de malware, inclusiv Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT și Warzone RAT . Această evoluție a lui BatCloak exemplifică adaptabilitatea și versatilitatea sa ca un puternic obfuscator de loturi FUD, subliniind prevalența sa în peisajul amenințărilor în continuă evoluție.