ปลดปล่อยพลังของ BatCloak Engine: อาชญากรไซเบอร์บรรลุการลักลอบมัลแวร์อย่างสมบูรณ์

ตั้งแต่เดือนกันยายน 2022 อาชญากรไซเบอร์ได้ใช้ BatCloak ซึ่งเป็นเครื่องมือสร้างความสับสนให้กับมัลแวร์ที่ทรงพลังและตรวจจับไม่ได้อย่างสมบูรณ์ (FUD) เพื่อปรับใช้สายพันธุ์มัลแวร์ต่างๆ แม้จะมีความพยายามอย่างต่อเนื่องโดยซอฟต์แวร์ป้องกันไวรัส แต่ BatCloak ก็สามารถหลบเลี่ยงการตรวจจับได้ ทำให้ผู้คุกคามสามารถโหลดตระกูลมัลแวร์ต่างๆ

จากข้อมูลของนักวิจัยที่ Trend Micro จากทั้งหมด 784 ชิ้นที่ค้นพบ มี 79.6% ที่น่าตกใจที่ยังคงตรวจไม่พบโดยโซลูชั่นความปลอดภัยทั้งหมด เป็นการตอกย้ำถึงประสิทธิภาพของ BatCloak ในการข้ามกลไกการตรวจจับแบบดั้งเดิม

กลไกใน BatCloak Engine

Jlaive ซึ่งเป็นเครื่องมือสร้างไฟล์แบตช์นอกชั้นวาง อาศัยเอ็นจิ้น BatCloak อันทรงพลังสำหรับการหลีกเลี่ยงความปลอดภัยขั้นสูง สามารถเลี่ยงผ่าน Antimalware Scan Interface (AMSI) เข้ารหัสและบีบอัดเพย์โหลด และทำหน้าที่เป็น "EXE to BAT crypter"

แม้ว่าเครื่องมือโอเพ่นซอร์สจะหายไปจาก GitHub และ GitLab ไม่นานหลังจากเปิดตัวโดย ch2sh ในเดือนกันยายน 2022 แต่ตัวดำเนินการอื่นๆ ได้โคลน ดัดแปลง และแม้แต่ย้ายพอร์ตไปยัง Rust เพย์โหลดสุดท้ายซ่อนอยู่ภายในเลเยอร์ตัวโหลดสามชั้น: ตัวโหลด C# ตัวโหลด PowerShell และตัวโหลดแบบแบตช์ ตัวโหลดแบทช์นี้เป็นจุดเริ่มต้น ถอดรหัสและแยกแต่ละขั้นตอนเพื่อเปิดใช้งานมัลแวร์ที่ซ่อนอยู่ นักวิจัย Peter Girnus และ Aliakbar Zahravi เน้นย้ำถึงการมีอยู่ของตัวโหลด PowerShell ที่สับสนและไบนารี C# stub ที่เข้ารหัสภายในตัวโหลดแบบแบตช์ ท้ายที่สุด Jlaive ใช้ประโยชน์จาก BatCloak เป็นเครื่องมือสร้างความสับสนให้กับไฟล์เพื่อปกป้องตัวโหลดแบตช์โดยจัดเก็บไว้ในดิสก์

ScrubCrypt: วิวัฒนาการขั้นต่อไปของ BatCloak

BatCloak ซึ่งเป็นเครื่องมือสร้างความสับสนของมัลแวร์ที่มีไดนามิกสูง ได้ผ่านการปรับปรุงและปรับเปลี่ยนที่สำคัญนับตั้งแต่เปิดตัวครั้งแรก หนึ่งในการทำซ้ำล่าสุดที่เรียกว่า ScrubCrypt ได้รับความสนใจเมื่อ Fortinet FortiGuard Labs เชื่อมต่อกับแคมเปญ cryptojacking ที่จัดทำโดย 8220 Gang ที่มีชื่อเสียง การตัดสินใจของนักพัฒนาในการเปลี่ยนจากเฟรมเวิร์กแบบโอเพ่นซอร์สเป็นโมเดลแบบปิดนั้นได้รับแรงบันดาลใจจากความสำเร็จของกิจการก่อนหน้าอย่าง Jlaive และวัตถุประสงค์ในการสร้างรายได้จากโครงการและป้องกันการจำลองแบบโดยไม่ได้รับอนุญาต

นักวิจัยยืนยันว่า ScrubCrypt สามารถทำงานร่วมกับตระกูลมัลแวร์ที่โดดเด่นต่างๆ ได้อย่างราบรื่น รวมถึง Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT และ Warzone RAT วิวัฒนาการของ BatCloak นี้แสดงให้เห็นตัวอย่างความสามารถในการปรับตัวและความอเนกประสงค์ของมันในฐานะตัวสร้างความสับสนแบบกลุ่ม FUD ที่ทรงพลัง โดยเน้นย้ำถึงการแพร่หลายในแนวภัยคุกคามที่พัฒนาตลอดเวลา