Ослобађање снаге БатЦлоак мотора: сајбер криминалци постижу потпуну прикривеност малвера

Од септембра 2022. сајбер криминалци користе БатЦлоак, моћан и потпуно неоткривен (ФУД) механизам за прикривање малвера, да би применили низ врста малвера. Упркос упорним напорима антивирусног софтвера, БатЦлоак је успео да избегне откривање, омогућавајући актерима претњи да неприметно учитавају различите породице злонамерног софтвера и експлоатације кроз јако замагљене батцх фајлове.

Према истраживачима Тренд Мицро-а, од 784 откривена артефакта, алармантних 79,6% остаје неоткривено свим безбедносним решењима, што наглашава ефикасност БатЦлоака у заобилажењу традиционалних механизама детекције.

Механика у мотору БатЦлоак

Јлаиве, готови програм за прављење батцх фајлова, ослања се на моћни БатЦлоак мотор за напредно избегавање безбедности. Може да заобиђе интерфејс за скенирање против малвера (АМСИ), да шифрује и компримује корисна оптерећења и служи као „ЕКСЕ то БАТ шифровање“.

Иако је алатка отвореног кода нестала из ГитХуб-а и ГитЛаб-а убрзо након што је објављена од стране цх2сх-а у септембру 2022. године, други актери су клонирали, модификовали, па чак и пренели на Руст. Коначни корисни терет је скривен у три слоја учитавача: Ц# учитавач, ПоверСхелл учитавач и батцх лоадер. Овај пакетни пуњач, почетна тачка, декодира и распакује сваку фазу да би активирао скривени малвер. Истраживачи Петер Гирнус и Алиакбар Захрави истакли су присуство замагљеног ПоверСхелл учитавача и шифроване Ц# стуб бинарне датотеке унутар пакетног учитача. На крају, Јлаиве користи БатЦлоак као механизам за замамљивање датотека да заштити пакетни учитавач, чувајући га на диску.

СцрубЦрипт: Следећа еволуција БатЦлоака

БатЦлоак, веома динамичан механизам за прикривање малвера, претрпео је значајна унапређења и прилагођавања од свог првобитног појављивања. Једна од његових недавних итерација, позната као СцрубЦрипт, привукла је пажњу када ју је Фортинет ФортиГуард Лабс повезала са кампањом криптоџацкинга коју је оркестрирала злогласна 8220 Ганг. Одлука програмера да пређе са оквира отвореног кода на модел затвореног кода мотивисана је успесима претходних подухвата као што је Јлаиве и циљем монетизације пројекта и заштите од неовлашћене репликације.

Истраживачи тврде да се СцрубЦрипт неприметно интегрише са различитим истакнутим породицама малвера, укључујући Амадеи , АсинцРАТ , ДаркЦристал РАТ , Пуре Минер, Куасар РАТ , РедЛине Стеалер , Ремцос РАТ , СмокеЛоадер , ВеномРАТ и Варзоне РАТ . Ова еволуција БатЦлоак-а илуструје његову прилагодљивост и свестраност као моћног ФУД серијског обфускатора, наглашавајући његову преваленцију у окружењу претњи које се стално развија.