BatCloak 恶意软件

网络安全分析师发现了一次复杂的多阶段攻击，该攻击使用以发票为主题的网络钓鱼诱饵作为传播一系列威胁软件的工具，包括VenomRAT 、 RemcosRAT 、 XWormRAT 、 NanoCore RAT和针对加密钱包的窃取程序。

这些欺诈性电子邮件包含可缩放矢量图形 (SVG) 文件形式的附件。一旦打开，这些文件就会触发一系列感染。值得注意的是，此操作利用了BatCloak恶意软件混淆引擎和 ScrubCrypt，通过混淆的批处理脚本传播恶意软件。

BatCloak 恶意软件促进下一阶段有效载荷的交付

BatCloak 于 2022 年底开始可供其他威胁行为者购买，它源自一种名为 Jlaive 的工具。其主要功能是以逃避传统检测方法的方式促进后续阶段有效载荷的加载。

ScrubCrypt 最初于 2023 年 3 月在 8220 团伙策划的加密劫持活动中被研究人员发现，根据趋势科技去年的研究结果，它被认为是 BatCloak 的迭代版本之一。

在网络安全专家仔细审查的最新活动中，SVG 文件充当部署 ZIP 存档的管道，其中包含可能使用 BatCloak 制作的批处理脚本。然后，该脚本解压 ScrubCrypt 批处理文件，在主机上建立持久性并实施绕过 AMSI 和 ETW 保护的措施后，最终执行 Venom RAT。

网络犯罪分子利用 BatCloak 部署大量恶意软件威胁

Venom RAT 是Quasar RAT的一个分支，它使攻击者能够控制受感染的系统、收集敏感数据并从命令和控制 (C2) 服务器执行命令。尽管 Venom RAT 的核心功能看似简单，但它与 C2 服务器建立了通信渠道，以获取用于各种活动的额外插件。这些插件包括配备键盘记录功能的 Venom RAT v6.0.3，以及 NanoCore RAT、XWorm 和 Remcos RAT。Remcos RAT 插件通过三种方式从 VenomRAT 的 C2 传播：名为“remcos.vbs”的模糊 VBS 脚本、ScrubCrypt 和GuLoader PowerShell。

通过插件系统还会分发一个窃取程序，该程序会清除系统信息并从与钱包和应用程序（例如 Atomic Wallet、Electrum、Ethereum、Exodus、Jaxx Liberty（截至 2023 年 3 月已停产）、Zcash、Foxmail 和 Telegram）链接的文件夹中窃取数据到远程服务器。

记录的复杂攻击操作采用多层混淆和规避策略，通过 ScrubCrypt 传播和执行 VenomRAT。犯罪者利用各种手段，包括带有恶意附件的网络钓鱼电子邮件、混淆的脚本文件和 Guloader PowerShell，来破坏和危害受害者系统。此外，通过各种有效载荷部署插件凸显了攻击活动的多功能性和适应性。