BatCloak Kötü Amaçlı Yazılım

Siber güvenlik analistleri, aralarında VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT ve bir kripto cüzdanı hedefleyici hırsızın da bulunduğu bir dizi tehdit edici yazılımı dağıtma aracı olarak fatura temalı kimlik avı tuzaklarını kullanan karmaşık, çok aşamalı bir saldırıyı ortaya çıkardı.

Bu sahte e-postalar, Ölçeklenebilir Vektör Grafikleri (SVG) dosyaları biçiminde ekler içerir. Bu dosyalar açıldıktan sonra bir dizi bulaşmayı tetikler. Bu operasyonda dikkate değer olan, kötü amaçlı yazılımın gizlenmiş toplu komut dosyaları aracılığıyla yayılması için BatCloak kötü amaçlı yazılım gizleme motorunun ve ScrubCrypt'in kullanılmasıdır.

BatCloak Kötü Amaçlı Yazılımı Sonraki Aşamadaki Yüklerin Teslimini Kolaylaştırıyor

2022'nin sonlarından bu yana diğer tehdit aktörleri tarafından satın alınabilen BatCloak, Jlaive olarak bilinen bir araçtan geliyor. Ana işlevi, bir sonraki aşamadaki yükün, geleneksel algılama yöntemlerinden kaçınacak şekilde yüklenmesini kolaylaştırmaktır.

Araştırmacılar tarafından ilk olarak Mart 2023'te 8220 Çetesi tarafından düzenlenen bir cryptojacking kampanyası sırasında tanımlanan ScrubCrypt'in, Trend Micro'nun geçen yılki bulgularına göre BatCloak'ın yinelemelerinden biri olduğuna inanılıyor.

Siber güvenlik uzmanları tarafından incelenen en son kampanyada SVG dosyası, muhtemelen BatCloak kullanılarak hazırlanmış bir toplu komut dosyası içeren bir ZIP arşivinin dağıtımı için bir kanal görevi görüyor. Bu komut dosyası daha sonra, ana bilgisayarda kalıcılık sağladıktan ve AMSI ve ETW korumalarını atlayacak önlemleri uyguladıktan sonra Venom RAT'ı yürütmek için ScrubCrypt toplu dosyasını açar.

Siber Suçlular BatCloak Aracılığıyla Çok Sayıda Kötü Amaçlı Yazılım Tehdidi Yayıyor

Quasar RAT'ın bir kolu olan Venom RAT, saldırganların güvenliği ihlal edilmiş sistemleri ele geçirmesine, hassas verileri toplamasına ve Komuta ve Kontrol (C2) sunucusundan komutları yürütmesine olanak tanır. Venom RAT'ın temel işlevleri basit gibi görünse de, çeşitli etkinlikler için ek eklentiler sağlamak amacıyla C2 sunucusuyla iletişim kanalları kurar. Bunlar, keylogger yetenekleriyle donatılmış Venom RAT v6.0.3'ün yanı sıra NanoCore RAT, XWorm ve Remcos RAT'ı da kapsar. Remcos RAT eklentisi, VenomRAT'ın C2'sinden üç yöntemle dağıtılır: 'remcos.vbs' adlı gizlenmiş bir VBS betiği, ScrubCrypt ve GuLoader PowerShell.

Ayrıca eklenti sistemi aracılığıyla dağıtılan bir hırsız, sistem bilgilerini temizliyor ve Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (Mart 2023 itibarıyla üretilmiyor), Zcash, Foxmail ve Telegram gibi cüzdanlar ve uygulamalarla bağlantılı klasörlerdeki verileri sifonluyor. uzak bir sunucu.

Belgelenen karmaşık saldırı operasyonu, VenomRAT'ı ScrubCrypt aracılığıyla yaymak ve yürütmek için çok sayıda gizleme ve kaçırma taktiği katmanı kullanıyor. Failler, kurban sistemlerini ihlal etmek ve tehlikeye atmak için kötü amaçlı ekler içeren kimlik avı e-postaları, gizlenmiş komut dosyası dosyaları ve Guloader PowerShell dahil olmak üzere çeşitli yöntemler kullanıyor. Ayrıca, eklentilerin farklı yükler aracılığıyla dağıtılması, saldırı kampanyasının çok yönlülüğünün ve uyarlanabilirliğinin altını çiziyor.