BatCloak Motorunun Gücünü Serbest Bırakma: Siber Suçlular Eksiksiz Kötü Amaçlı Yazılım Gizliliğine Ulaşıyor
Eylül 2022'den bu yana siber suçlular, çeşitli kötü amaçlı yazılım türlerini dağıtmak için güçlü ve tamamen algılanamaz (FUD) bir kötü amaçlı yazılım gizleme motoru olan BatCloak'ı kullanıyor. Antivirüs yazılımının ısrarlı çabalarına rağmen, BatCloak tespit edilmekten kurtulmayı başardı ve tehdit aktörlerinin çeşitli kötü amaçlı yazılım ailelerini ve açıkları büyük ölçüde gizlenmiş toplu iş dosyaları aracılığıyla sorunsuz bir şekilde yüklemesini sağladı.
Trend Micro'daki araştırmacılara göre, keşfedilen 784 eserden %79,6 gibi endişe verici bir oran tüm güvenlik çözümleri tarafından algılanamıyor ve bu da BatCloak'ın geleneksel algılama mekanizmalarını atlamadaki etkinliğinin altını çiziyor.
BatCloak Motorundaki Mekanik
Hazır bir toplu dosya oluşturucu olan Jlaive, gelişmiş güvenlik kaçırma için güçlü BatCloak motoruna güveniyor. Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzünü (AMSI) atlayabilir, yükleri şifreleyebilir ve sıkıştırabilir ve "EXE'den BAT'a kriptolayıcı" olarak hizmet edebilir.
Açık kaynak araç, Eylül 2022'de ch2sh tarafından piyasaya sürüldükten kısa bir süre sonra GitHub ve GitLab'dan kaybolsa da, diğer aktörler Rust'a klonladı, değiştirdi ve hatta taşıdı. Son yük, üç yükleyici katmanında gizlidir: bir C# yükleyici, bir PowerShell yükleyici ve bir toplu yükleyici. Başlangıç noktası olan bu toplu yükleyici, gizli kötü amaçlı yazılımı etkinleştirmek için her aşamanın kodunu çözer ve paketini açar. Araştırmacılar Peter Girnus ve Aliakbar Zahravi, toplu yükleyicide gizlenmiş bir PowerShell yükleyicisinin ve şifrelenmiş bir C# stub ikili dosyasının varlığının altını çizdiler. Nihayetinde Jlaive, toplu yükleyiciyi korumak ve onu bir diskte depolamak için bir dosya gizleme motoru olarak BatCloak'tan yararlanır.
ScrubCrypt: BatCloak'ın Sonraki Evrimi
Son derece dinamik bir kötü amaçlı yazılım gizleme motoru olan BatCloak, ilk ortaya çıkışından bu yana önemli ilerlemeler ve uyarlamalar geçirdi. ScrubCrypt olarak bilinen en son sürümlerinden biri, Fortinet FortiGuard Labs tarafından kötü şöhretli 8220 Çetesi tarafından yönetilen bir cryptojacking kampanyasına bağladığında dikkatleri üzerine çekti. Geliştiricinin açık kaynak çerçevesinden kapalı kaynak modeline geçiş kararı, Jlaive gibi önceki girişimlerin başarıları ve projeden para kazanma ve yetkisiz çoğaltmaya karşı koruma hedefi tarafından motive edildi.
Araştırmacılar, ScrubCrypt'in Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT ve Warzone RAT dahil olmak üzere çeşitli önde gelen kötü amaçlı yazılım aileleriyle sorunsuz bir şekilde entegre olduğunu iddia ediyor. BatCloak'ın bu evrimi, sürekli gelişen tehdit ortamındaki yaygınlığının altını çizerek, güçlü bir FUD toplu karartıcı olarak uyarlanabilirliğini ve çok yönlülüğünü örneklemektedir.