Lëshimi i fuqisë së motorit BatCloak: Kriminelët kibernetikë arrijnë vjedhje të plotë të malware
Që nga shtatori i vitit 2022, kriminelët kibernetikë kanë përdorur BatCloak, një motor i fuqishëm dhe plotësisht i pazbulueshëm (FUD) i errësimit të malware, për të vendosur një sërë llojesh malware. Pavarësisht përpjekjeve të vazhdueshme nga softueri antivirus, BatCloak ka arritur të shmangë zbulimin, duke u mundësuar aktorëve të kërcënimit të ngarkojnë pa probleme familje të ndryshme malware dhe shfrytëzime përmes skedarëve të grumbulluar shumë të turbullt.
Sipas studiuesve në Trend Micro, nga 784 artefaktet e zbuluara, 79.6% alarmante mbeten të pazbuluara nga të gjitha zgjidhjet e sigurisë, duke nënvizuar efektivitetin e BatCloak në anashkalimin e mekanizmave tradicionalë të zbulimit.
Mekanika në motorin BatCloak
Jlaive, një ndërtues i skedarëve të grupeve jashtë raftit, mbështetet në motorin e fuqishëm BatCloak për evazion të avancuar të sigurisë. Ai mund të anashkalojë ndërfaqen e skanimit të antimalware (AMSI), të kodojë dhe kompresojë ngarkesat dhe shërben si një "kriptues EXE në BAT".
Megjithëse mjeti me burim të hapur u zhduk nga GitHub dhe GitLab menjëherë pas lëshimit të tij nga ch2sh në shtator 2022, aktorë të tjerë janë klonuar, modifikuar dhe madje janë transferuar në Rust. Ngarkesa përfundimtare qëndron e fshehur brenda tre shtresave të ngarkuesit: një ngarkues C#, një ngarkues PowerShell dhe një ngarkues grumbull. Ky ngarkues grumbull, pika fillestare, deshifron dhe shpaketon çdo fazë për të aktivizuar malware-in e fshehur. Studiuesit Peter Girnus dhe Aliakbar Zahravi theksuan praninë e një ngarkuesi të turbullt PowerShell dhe një binar cung të koduar C# brenda ngarkuesit të grupit. Në fund të fundit, Jlaive përdor BatCloak si një motor mjegullimi të skedarëve për të mbrojtur ngarkuesin e grupit, duke e ruajtur atë në një disk.
ScrubCrypt: Evolucioni i ardhshëm i BatCloak
BatCloak, një motor shumë dinamik i errësimit të malware, ka pësuar përparime dhe përshtatje të rëndësishme që nga shfaqja e tij fillestare. Një nga përsëritjet e tij të fundit, i njohur si ScrubCrypt, tërhoqi vëmendjen kur Fortinet FortiGuard Labs e lidhi atë me një fushatë cryptojacking të orkestruar nga banda famëkeqe 8220. Vendimi i zhvilluesit për të kaluar nga një kornizë me burim të hapur në një model me burim të mbyllur u motivua nga sukseset e sipërmarrjeve të mëparshme si Jlaive dhe objektivi për të fituar para nga projekti dhe për ta mbrojtur atë nga përsëritja e paautorizuar.
Studiuesit pohojnë se ScrubCrypt integrohet pa probleme me familje të ndryshme të shquara malware, duke përfshirë Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT dhe Warzone RAT . Ky evolucion i BatCloak ilustron përshtatshmërinë dhe shkathtësinë e tij si një bllokues i fuqishëm i grupit FUD, duke nënvizuar mbizotërimin e tij në peizazhin e kërcënimit gjithnjë në zhvillim.