Släpp lös kraften i BatCloak Engine: Cyberbrottslingar uppnår fullständig skadlig programvara
Sedan september 2022 har cyberbrottslingar använt BatCloak, en kraftfull och fullständigt oupptäckbar (FUD) skadlig kod förvirringsmotor, för att distribuera en rad skadliga stammar. Trots ihärdiga ansträngningar från antivirusprogram, har BatCloak lyckats undvika upptäckt, vilket gör det möjligt för hotaktörer att sömlöst ladda olika skadliga programfamiljer och exploateringar genom kraftigt obfuskerade batchfiler.
Enligt forskare vid Trend Micro, av de 784 upptäckta artefakterna, förblir oroväckande 79,6 % oupptäckta av alla säkerhetslösningar, vilket understryker BatCloaks effektivitet när det gäller att kringgå traditionella detektionsmekanismer.
Mekaniken i BatCloak-motorn
Jlaive, en färdig batchfilbyggare, förlitar sig på den kraftfulla BatCloak-motorn för avancerad säkerhetsflykt. Det kan kringgå Antimalware Scan Interface (AMSI), kryptera och komprimera nyttolaster och fungerar som en "EXE till BAT-kryptering".
Även om verktyget med öppen källkod försvann från GitHub och GitLab kort efter att det släpptes av ch2sh i september 2022, har andra aktörer klonat, modifierat och till och med porterat till Rust. Den slutliga nyttolasten ligger dold inom tre lastarlager: en C#-lastare, en PowerShell-lastare och en batch-lastare. Denna batchladdare, startpunkten, avkodar och packar upp varje steg för att aktivera den dolda skadliga programvaran. Forskarna Peter Girnus och Aliakbar Zahravi lyfte fram närvaron av en obfuskerad PowerShell-lastare och en krypterad C#-stubbinär i batchladdaren. I slutändan använder Jlaive BatCloak som en filobfuskeringsmotor för att skydda batchladdaren och lagra den på en disk.
ScrubCrypt: The Next Evolution of BatCloak
BatCloak, en mycket dynamisk fördunklingsmotor för skadlig programvara, har genomgått betydande framsteg och anpassningar sedan dess första uppkomst. En av dess senaste iterationer, känd som ScrubCrypt, fick uppmärksamhet när Fortinet FortiGuard Labs kopplade den till en kryptojackningskampanj orkestrerad av det ökända 8220-gänget. Utvecklarens beslut att övergå från ett ramverk med öppen källkod till en modell med stängd källkod motiverades av framgångarna från tidigare satsningar som Jlaive och målet att tjäna pengar på projektet och skydda det mot otillåten replikering.
Forskare hävdar att ScrubCrypt sömlöst integreras med olika framstående skadliga programfamiljer, inklusive Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT och Warzone RAT . Denna utveckling av BatCloak exemplifierar dess anpassningsförmåga och mångsidighet som en kraftfull FUD batch obfuscator, vilket understryker dess förekomst i det ständigt föränderliga hotlandskapet.