Раскрытие возможностей движка BatCloak: киберпреступники добиваются полной скрытности вредоносного ПО

С сентября 2022 года киберпреступники используют BatCloak, мощный и полностью необнаруживаемый (FUD) механизм обфускации вредоносных программ, для развертывания ряда штаммов вредоносных программ. Несмотря на настойчивые усилия антивирусного программного обеспечения, BatCloak удалось избежать обнаружения, что позволяет злоумышленникам беспрепятственно загружать различные семейства вредоносных программ и эксплойты с помощью сильно запутанных пакетных файлов.

По словам исследователей Trend Micro, из 784 обнаруженных артефактов тревожные 79,6% остаются необнаруженными всеми решениями безопасности, что подчеркивает эффективность BatCloak в обходе традиционных механизмов обнаружения.

Механика в движке BatCloak

Jlaive, готовый конструктор пакетных файлов, опирается на мощный движок BatCloak для расширенного обхода безопасности. Он может обходить интерфейс сканирования на наличие вредоносных программ (AMSI), шифровать и сжимать полезные нагрузки и служит «шифровальщиком EXE для BAT».

Хотя инструмент с открытым исходным кодом исчез из GitHub и GitLab вскоре после его выпуска ch2sh в сентябре 2022 года, другие участники клонировали, модифицировали и даже портировали на Rust. Окончательная полезная нагрузка скрыта в трех слоях загрузчика: загрузчик C#, загрузчик PowerShell и пакетный загрузчик. Этот пакетный загрузчик, отправная точка, декодирует и распаковывает каждую стадию для активации скрытого вредоносного ПО. Исследователи Питер Гирнус и Алиакбар Захрави отметили наличие запутанного загрузчика PowerShell и зашифрованного двоичного файла-заглушки C# в пакетном загрузчике. В конечном счете, Jlaive использует BatCloak в качестве механизма запутывания файлов для защиты пакетного загрузчика, сохраняя его на диске.

ScrubCrypt: следующая эволюция BatCloak

BatCloak, высокодинамичный механизм запутывания вредоносных программ, претерпел значительные улучшения и адаптации с момента своего появления. Одна из ее недавних итераций, известная как ScrubCrypt, привлекла внимание, когда Fortinet FortiGuard Labs связала ее с кампанией по криптоджекингу, организованной печально известной бандой 8220. Решение разработчика перейти от платформы с открытым исходным кодом к модели с закрытым исходным кодом было мотивировано успехами предыдущих проектов, таких как Jlaive, а также целью монетизации проекта и защиты его от несанкционированного копирования.

Исследователи утверждают, что ScrubCrypt легко интегрируется с различными известными семействами вредоносных программ, включая Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT и Warzone RAT . Эта эволюция BatCloak иллюстрирует его адаптивность и универсальность в качестве мощного пакетного обфускатора FUD, подчеркивая его распространенность в постоянно меняющемся ландшафте угроз.