BatCloak Obfuscation Engine bruges til at sprede malware uopdaget

foudre malware

Siden september 2022 er en malware-obfuskationsmotor kendt som BatCloak blevet brugt til at distribuere forskellige stammer af malware uden at blive opdaget af antivirussystemer. Trend Micro-forskere har udtalt, at disse prøver giver trusselsaktører mulighed for ubesværet at indlæse adskillige malware-familier og udnyttelser ved hjælp af meget slørede batchfiler. Det er bemærkelsesværdigt, at cirka 79,6% af de 784 opdagede artefakter er forblevet uopdaget af alle sikkerhedsløsninger, hvilket indikerer BatCloaks evne til at omgå traditionelle detektionsmetoder.

Batch-filer, der bruges til at sløre nyttelast

BatCloak-motoren spiller en afgørende rolle i et let tilgængeligt batchfilbyggerværktøj kaldet Jlaive. Jlaive tilbyder funktioner såsom at omgå Antimalware Scan Interface (AMSI), komprimering og kryptering af den primære nyttelast for at øge sikkerhedsunddragelse. Selvom open source-værktøjet, som oprindeligt blev delt på GitHub og GitLab i september 2022 af en udvikler ved navn ch2sh, er blevet fjernet, blev det annonceret som en "EXE til BAT-kryptering". Det er siden blevet klonet, modificeret og overført til andre programmeringssprog som Rust.

Den endelige nyttelast er skjult ved hjælp af tre loader-lag: en C#-loader, en PowerShell-loader og en batch-loader. Batch-indlæseren tjener som udgangspunkt for at afkode og udpakke hvert trin, hvilket i sidste ende udløser den skjulte malware. I batch-indlæseren kan der findes en uklar PowerShell-indlæser og en krypteret C#-stub-binær. Forskerne Peter Girnus og Aliakbar Zahravi forklarede, at Jlaive bruger BatCloak som en filobfuskationsmotor til at skjule batchindlæseren og gemme den på disken.

BatCloak opdateres løbende

BatCloak har gennemgået adskillige opdateringer og tilpasninger siden dens optræden i naturen, hvor den seneste version er ScrubCrypt. Fortinet FortiGuard Labs fremhævede ScrubCrypt i forbindelse med en kryptojacking-kampagne orkestreret af 8220 Banden. Især ScrubCrypt er designet til at være kompatibel med forskellige velkendte malware-familier, herunder Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT og Warzone RAT.

I Zaib
June 12, 2023
Computer Security
Dansk
June 12, 2023
Computer Security

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

5 days siden

Trojan Al11 Malware Detektion

11 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.