Розкриття потужності двигуна BatCloak: кіберзлочинці досягають повної скритності шкідливих програм

З вересня 2022 року кіберзлочинці використовують BatCloak, потужний і повністю невиявлений (FUD) механізм обфускації зловмисного програмного забезпечення, щоб розгортати ряд різновидів зловмисного програмного забезпечення. Незважаючи на наполегливі зусилля антивірусного програмного забезпечення, BatCloak вдалося уникнути виявлення, дозволяючи суб’єктам загрози безперешкодно завантажувати різноманітні сімейства зловмисного програмного забезпечення та експлойти за допомогою сильно захищених пакетних файлів.

За даними дослідників Trend Micro, із 784 виявлених артефактів тривожні 79,6% залишаються невиявленими всіма рішеннями безпеки, що підкреслює ефективність BatCloak в обході традиційних механізмів виявлення.

Механіка в движку BatCloak

Jlaive, готовий конструктор пакетних файлів, покладається на потужний механізм BatCloak для вдосконаленого обходу безпеки. Він може обійти інтерфейс сканування проти зловмисного програмного забезпечення (AMSI), шифрувати та стискати корисні дані та служити «шифрувальником EXE до BAT».

Хоча інструмент із відкритим кодом зник із GitHub і GitLab незабаром після його випуску ch2sh у вересні 2022 року, інші учасники клонували, модифікували та навіть портували на Rust. Остаточне корисне навантаження приховано в трьох рівнях завантажувача: завантажувач C#, завантажувач PowerShell і пакетний завантажувач. Цей пакетний завантажувач, початкова точка, декодує та розпаковує кожен етап, щоб активувати приховане шкідливе програмне забезпечення. Дослідники Пітер Гірнус і Аліакбар Заграві підкреслили наявність обфускованого завантажувача PowerShell і зашифрованого двійкового файлу C#-заглушки в пакетному завантажувачі. Зрештою, Jlaive використовує BatCloak як механізм обфускації файлів для захисту пакетного завантажувача, зберігаючи його на диску.

ScrubCrypt: наступна еволюція BatCloak

BatCloak, високодинамічний механізм обфускації зловмисного програмного забезпечення, зазнав значних удосконалень і адаптацій з моменту своєї появи. Одна з останніх ітерацій, відома як ScrubCrypt, привернула увагу, коли лабораторії Fortinet FortiGuard підключили її до кампанії криптовикрадення, організованої сумнозвісною бандою 8220. Рішення розробника щодо переходу від фреймворку з відкритим вихідним кодом до моделі із закритим вихідним кодом було мотивовано успіхами попередніх підприємств, таких як Jlaive, і метою монетизації проекту та захисту його від несанкціонованого копіювання.

Дослідники стверджують, що ScrubCrypt легко інтегрується з різними відомими сімействами зловмисних програм, включаючи Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT і Warzone RAT . Ця еволюція BatCloak є прикладом його адаптивності та універсальності як потужного пакетного обфускатора FUD, підкреслюючи його поширеність у середовищі загроз, що постійно змінюється.