Sprostitev moči BatCloak Engine: Kibernetski kriminalci dosegajo popolno prikrito zlonamerno programsko opremo

Od septembra 2022 kibernetski kriminalci uporabljajo BatCloak, zmogljiv in popolnoma nezaznaven (FUD) mehanizem za zamegljevanje zlonamerne programske opreme, za uvedbo vrste zlonamerne programske opreme. Kljub vztrajnim prizadevanjem protivirusne programske opreme se je BatCloak uspel izogniti odkritju, kar akterjem groženj omogoča nemoteno nalaganje različnih družin zlonamerne programske opreme in izkorišča prek močno zakritih paketnih datotek.

Po mnenju raziskovalcev pri Trend Micro je od 784 odkritih artefaktov zaskrbljujočih 79,6 % ostalo neodkritih z vsemi varnostnimi rešitvami, kar poudarja učinkovitost BatCloaka pri obhodu tradicionalnih mehanizmov zaznavanja.

Mehanika v motorju BatCloak

Jlaive, že pripravljen graditelj paketnih datotek, se zanaša na zmogljiv mehanizem BatCloak za napredno izogibanje varnosti. Lahko zaobide vmesnik za skeniranje proti zlonamerni programski opremi (AMSI), šifrira in stisne koristne podatke ter služi kot »šifrer EXE v BAT«.

Čeprav je odprtokodno orodje izginilo iz GitHub in GitLab kmalu po izdaji s strani ch2sh septembra 2022, so drugi akterji klonirali, spremenili in celo prenesli v Rust. Končna koristna vsebina je skrita v treh slojih nalagalnika: nalagalnik C#, nalagalnik PowerShell in paketni nalagalnik. Ta paketni nalagalnik, izhodišče, dekodira in razpakira vsako stopnjo, da aktivira skrito zlonamerno programsko opremo. Raziskovalca Peter Girnus in Aliakbar Zahravi sta poudarila prisotnost prikritega nalagalnika PowerShell in šifrirane dvojiške datoteke C# v paketnem nalagalniku. Konec koncev Jlaive izkorišča BatCloak kot mehanizem za zakrivanje datotek za zaščito paketnega nalagalnika in ga shrani na disk.

ScrubCrypt: Naslednja evolucija BatCloaka

BatCloak, zelo dinamičen mehanizem za zamegljevanje zlonamerne programske opreme, je bil od svojega prvotnega pojava deležen pomembnih napredkov in prilagoditev. Ena njegovih nedavnih ponovitev, znana kot ScrubCrypt, je pritegnila pozornost, ko jo je Fortinet FortiGuard Labs povezal s kampanjo kriptovaluta, ki jo je orkestrirala razvpita 8220 Gang. Razvijalčeva odločitev za prehod iz odprtokodnega ogrodja v zaprtokodni model je bila motivirana z uspehi prejšnjih podvigov, kot je Jlaive, in ciljem monetizacije projekta ter njegove zaščite pred nepooblaščenim podvajanjem.

Raziskovalci trdijo, da se ScrubCrypt brezhibno integrira z različnimi znanimi družinami zlonamerne programske opreme, vključno z Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT in Warzone RAT . Ta razvoj BatCloaka ponazarja njegovo prilagodljivost in vsestranskost kot zmogljiv paketni zakrivalnik FUD, kar poudarja njegovo razširjenost v nenehno razvijajočem se okolju groženj.