Giải phóng sức mạnh của BatCloak Engine: Tội phạm mạng đạt được khả năng tàng hình hoàn toàn của phần mềm độc hại

Kể từ tháng 9 năm 2022, tội phạm mạng đã sử dụng BatCloak, một công cụ che giấu phần mềm độc hại (FUD) mạnh mẽ và hoàn toàn không thể phát hiện, để triển khai một loạt các chủng phần mềm độc hại. Bất chấp những nỗ lực liên tục của phần mềm chống vi-rút, BatCloak đã xoay sở để tránh bị phát hiện, cho phép các tác nhân đe dọa tải liền mạch các họ phần mềm độc hại khác nhau và khai thác thông qua các tệp lô bị xáo trộn nặng nề.

Theo các nhà nghiên cứu tại Trend Micro, trong số 784 hiện vật được phát hiện, con số đáng báo động là 79,6% vẫn không bị phát hiện bởi tất cả các giải pháp bảo mật, điều này nhấn mạnh hiệu quả của BatCloak trong việc vượt qua các cơ chế phát hiện truyền thống.

Cơ học trong BatCloak Engine

Jlaive, một trình tạo tệp hàng loạt có sẵn, dựa trên công cụ BatCloak mạnh mẽ để vượt qua bảo mật nâng cao. Nó có thể bỏ qua Giao diện quét phần mềm độc hại (AMSI), mã hóa và nén tải trọng, đồng thời đóng vai trò là "công cụ mã hóa EXE sang BAT".

Mặc dù công cụ mã nguồn mở đã biến mất khỏi GitHub và GitLab ngay sau khi được ch2sh phát hành vào tháng 9 năm 2022, nhưng các tác nhân khác đã sao chép, sửa đổi và thậm chí chuyển sang Rust. Tải trọng cuối cùng nằm ẩn trong ba lớp trình tải: trình tải C#, trình tải PowerShell và trình tải hàng loạt. Trình tải hàng loạt này, điểm bắt đầu, giải mã và giải nén từng giai đoạn để kích hoạt phần mềm độc hại ẩn. Các nhà nghiên cứu Peter Girnus và Aliakbar Zahravi đã nhấn mạnh sự hiện diện của trình tải PowerShell bị xáo trộn và tệp nhị phân sơ khai C# được mã hóa trong trình tải hàng loạt. Cuối cùng, Jlaive tận dụng BatCloak như một công cụ mã hóa tệp để bảo vệ trình tải hàng loạt, lưu trữ nó trên đĩa.

ScrubCrypt: Sự phát triển tiếp theo của BatCloak

BatCloak, một công cụ che giấu phần mềm độc hại rất năng động, đã trải qua những cải tiến và điều chỉnh đáng kể kể từ khi xuất hiện lần đầu. Một trong những lần lặp lại gần đây của nó, được gọi là ScrubCrypt, đã thu hút sự chú ý khi Fortinet FortiGuard Labs kết nối nó với một chiến dịch cướp tiền điện tử do Băng đảng khét tiếng 8220 dàn dựng. Quyết định của nhà phát triển chuyển đổi từ khung nguồn mở sang mô hình nguồn đóng được thúc đẩy bởi sự thành công của các dự án trước đó như Jlaive và mục tiêu kiếm tiền từ dự án cũng như bảo vệ dự án khỏi sự sao chép trái phép.

Các nhà nghiên cứu khẳng định rằng ScrubCrypt tích hợp liền mạch với nhiều dòng phần mềm độc hại nổi bật khác nhau, bao gồm Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner , Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT và Warzone RAT . Sự phát triển này của BatCloak thể hiện khả năng thích ứng và tính linh hoạt của nó như một công cụ che giấu hàng loạt FUD mạnh mẽ, nhấn mạnh mức độ phổ biến của nó trong bối cảnh các mối đe dọa không ngừng phát triển.