Μηχανή επικάλυψης BatCloak που χρησιμοποιείται για τη διάδοση κακόβουλου λογισμικού που δεν ανιχνεύεται

Από τον Σεπτέμβριο του 2022, μια μηχανή συσκότισης κακόβουλου λογισμικού γνωστή ως BatCloak έχει χρησιμοποιηθεί για τη διανομή διαφορετικών στελεχών κακόβουλου λογισμικού χωρίς να εντοπίζεται από συστήματα προστασίας από ιούς. Οι ερευνητές της Trend Micro έχουν δηλώσει ότι αυτά τα δείγματα επιτρέπουν στους παράγοντες απειλών να φορτώνουν αβίαστα πολυάριθμες οικογένειες κακόβουλου λογισμικού και εκμεταλλεύσεις χρησιμοποιώντας εξαιρετικά ασαφή αρχεία δέσμης. Σημειωτέον, περίπου το 79,6% από τα 784 τεχνουργήματα που ανακαλύφθηκαν δεν έχουν εντοπιστεί από όλες τις λύσεις ασφαλείας, υποδεικνύοντας την ικανότητα του BatCloak να αποφεύγει τις παραδοσιακές μεθόδους ανίχνευσης.

Μαζικά αρχεία που χρησιμοποιούνται για τη συσκότιση ωφέλιμων φορτίων

Ο κινητήρας BatCloak παίζει κρίσιμο ρόλο σε ένα άμεσα διαθέσιμο εργαλείο δημιουργίας αρχείων παρτίδας που ονομάζεται Jlaive. Το Jlaive προσφέρει δυνατότητες όπως η παράκαμψη της διεπαφής σάρωσης Antimalware (AMSI), η συμπίεση και η κρυπτογράφηση του κύριου ωφέλιμου φορτίου για την ενίσχυση της διαφυγής ασφαλείας. Αν και το εργαλείο ανοιχτού κώδικα, το οποίο αρχικά κοινοποιήθηκε στο GitHub και στο GitLab τον Σεπτέμβριο του 2022 από έναν προγραμματιστή με το όνομα ch2sh, καταργήθηκε, διαφημίστηκε ως "κρυπτογράφηση EXE to BAT". Έκτοτε έχει κλωνοποιηθεί, τροποποιηθεί και μεταφερθεί σε άλλες γλώσσες προγραμματισμού όπως η Rust.

Το τελικό ωφέλιμο φορτίο κρύβεται χρησιμοποιώντας τρία επίπεδα φόρτωσης: έναν φορτωτή C#, έναν φορτωτή PowerShell και έναν φορτωτή παρτίδας. Ο φορτωτής παρτίδας χρησιμεύει ως το σημείο εκκίνησης για την αποκωδικοποίηση και την αποσυσκευασία κάθε σταδίου, ενεργοποιώντας τελικά το κρυφό κακόβουλο λογισμικό. Εντός του φορτωτή παρτίδας, μπορεί να βρεθεί ένας σκοτεινός φορτωτής PowerShell και ένα κρυπτογραφημένο δυαδικό απόκομμα C#. Οι ερευνητές Peter Girnus και Aliakbar Zahravi εξήγησαν ότι το Jlaive χρησιμοποιεί το BatCloak ως μηχανή συσκότισης αρχείων για να κρύψει τον φορτωτή παρτίδας και να τον αποθηκεύσει στο δίσκο.

Το BatCloak ενημερώνεται συνεχώς

Το BatCloak έχει υποστεί πολλαπλές ενημερώσεις και προσαρμογές από την εμφάνισή του στη φύση, με την τελευταία έκδοση να είναι το ScrubCrypt. Η Fortinet FortiGuard Labs τόνισε το ScrubCrypt σε σχέση με μια καμπάνια cryptojacking που ενορχηστρώθηκε από τη συμμορία 8220. Συγκεκριμένα, το ScrubCrypt έχει σχεδιαστεί για να είναι συμβατό με διάφορες γνωστές οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT και Warzone RAT.