Uvoľnenie sily BatCloak Engine: Kyberzločinci dosiahnu úplné utajenie škodlivého softvéru

Od septembra 2022 kyberzločinci využívajú BatCloak, výkonný a plne nezistiteľný (FUD) malvérový nástroj na zahmlievanie, na nasadenie radu malvérových kmeňov. Napriek vytrvalému úsiliu antivírusového softvéru sa BatCloaku podarilo vyhnúť sa detekcii, čo umožňuje aktérom hrozieb bezproblémovo načítať rôzne rodiny malvéru a exploity prostredníctvom silne zahmlených dávkových súborov.

Podľa výskumníkov zo spoločnosti Trend Micro zo 784 objavených artefaktov zostáva alarmujúcich 79,6 % neodhalených všetkými bezpečnostnými riešeniami, čo podčiarkuje účinnosť BatCloak pri obchádzaní tradičných detekčných mechanizmov.

Mechanika v motore BatCloak

Jlaive, štandardný tvorca dávkových súborov, sa spolieha na výkonný engine BatCloak pre pokročilé bezpečnostné úniky. Dokáže obísť Antimalware Scan Interface (AMSI), šifrovať a komprimovať užitočné zaťaženie a slúži ako „EXE to BAT šifrovač“.

Hoci tento nástroj s otvoreným zdrojovým kódom zmizol na GitHub a GitLab krátko po jeho vydaní spoločnosťou ch2sh v septembri 2022, iní aktéri ho naklonovali, upravili a dokonca preniesli na Rust. Konečné užitočné zaťaženie je ukryté v troch vrstvách zavádzača: zavádzač C#, zavádzač PowerShell a dávkový zavádzač. Tento dávkový zavádzač, východiskový bod, dekóduje a rozbalí každú fázu, aby aktivoval skrytý malvér. Výskumníci Peter Girnus a Aliakbar Zahravi zdôraznili prítomnosť zmäteného zavádzača PowerShell a šifrovaného binárneho kódu C# v rámci dávkového zavádzača. Nakoniec Jlaive využíva BatCloak ako nástroj na zahmlievanie súborov na ochranu dávkového zavádzača a ukladá ho na disk.

ScrubCrypt: Ďalšia evolúcia BatCloak

BatCloak, vysoko dynamický nástroj na zahmlievanie škodlivého softvéru, prešiel od svojho prvého objavenia významnými vylepšeniami a úpravami. Jedna z jej nedávnych iterácií, známa ako ScrubCrypt, si získala pozornosť, keď ju Fortinet FortiGuard Labs pripojili ku kampani na kryptojacking organizovanej notoricky známym gangom 8220. Rozhodnutie vývojára prejsť z open-source frameworku na uzavretý-source model bolo motivované úspechmi predchádzajúcich podnikov ako Jlaive a cieľom speňažiť projekt a zabezpečiť ho pred neoprávnenou replikáciou.

Výskumníci tvrdia, že ScrubCrypt sa bezproblémovo integruje s rôznymi prominentnými rodinami malvéru, vrátane Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT a Warzone RAT . Táto evolúcia BatCloak ilustruje jeho prispôsobivosť a všestrannosť ako výkonný FUD dávkový obfuskátor, ktorý podčiarkuje jeho prevalenciu v neustále sa vyvíjajúcom prostredí hrozieb.