Pagpapalabas ng Kapangyarihan ng BatCloak Engine: Naabot ng mga Cybercriminal ang Kumpletong Malware Stealth

Mula noong Setyembre 2022, ginagamit ng mga cybercriminal ang BatCloak, isang malakas at ganap na hindi matukoy (FUD) na malware obfuscation engine, upang mag-deploy ng hanay ng mga strain ng malware. Sa kabila ng patuloy na pagsusumikap ng antivirus software, nagawa ng BatCloak na makaiwas sa pagtuklas, na nagbibigay-daan sa mga aktor ng pagbabanta na walang putol na mag-load ng iba't ibang pamilya ng malware at mga pagsasamantala sa pamamagitan ng napakaraming mga batch na file.

Ayon sa mga mananaliksik sa Trend Micro, sa 784 na mga artifact na natuklasan, isang nakababahala na 79.6% ay nananatiling hindi natukoy ng lahat ng mga solusyon sa seguridad, na binibigyang-diin ang pagiging epektibo ng BatCloak sa pag-bypass sa mga tradisyonal na mekanismo ng pagtuklas.

Ang Mechanics sa BatCloak Engine

Si Jlaive, isang off-the-shelf batch file builder, ay umaasa sa malakas na BatCloak engine para sa advanced na pag-iwas sa seguridad. Maaari nitong i-bypass ang Antimalware Scan Interface (AMSI), i-encrypt at i-compress ang mga payload, at magsisilbing "EXE to BAT crypter."

Bagama't nawala ang open-source tool mula sa GitHub at GitLab sa ilang sandali matapos itong i-release ng ch2sh noong Setyembre 2022, ang ibang mga aktor ay nag-clone, nag-modify, at nag-port pa sa Rust. Ang huling payload ay nakatago sa loob ng tatlong layer ng loader: isang C# loader, isang PowerShell loader, at isang batch loader. Ang batch loader na ito, ang panimulang punto, ay nagde-decode at nag-unpack sa bawat yugto upang i-activate ang nakatagong malware. Binigyang-diin ng mga mananaliksik na sina Peter Girnus at Aliakbar Zahravi ang pagkakaroon ng isang obfuscated na PowerShell loader at isang naka-encrypt na C# stub binary sa loob ng batch loader. Sa huli, ginagamit ni Jlaive ang BatCloak bilang isang file obfuscation engine upang protektahan ang batch loader, na iniimbak ito sa isang disk.

ScrubCrypt: Ang Susunod na Ebolusyon ng BatCloak

Ang BatCloak, isang napaka-dynamic na malware obfuscation engine, ay sumailalim sa mga makabuluhang pag-unlad at adaptasyon mula noong una itong lumitaw. Isa sa mga kamakailang pag-ulit nito, na kilala bilang ScrubCrypt, ay nakakuha ng pansin nang ikonekta ito ng Fortinet FortiGuard Labs sa isang cryptojacking campaign na inayos ng kilalang 8220 Gang. Ang desisyon ng developer na lumipat mula sa isang open-source na balangkas patungo sa isang closed-source na modelo ay naudyok ng mga tagumpay ng mga nakaraang pakikipagsapalaran tulad ng Jlaive at ang layunin ng pagkakitaan ang proyekto at pangalagaan ito laban sa hindi awtorisadong pagtitiklop.

Iginiit ng mga mananaliksik na ang ScrubCrypt ay walang putol na sumasama sa iba't ibang kilalang mga pamilya ng malware, kabilang ang Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT , at Warzone RAT . Ang ebolusyon na ito ng BatCloak ay nagpapakita ng kakayahang umangkop at versatility nito bilang isang makapangyarihang FUD batch obfuscator, na binibigyang-diin ang pagkalat nito sa patuloy na umuusbong na landscape ng pagbabanta.