Motor de ofuscación BatCloak utilizado para propagar malware sin ser detectado
Desde septiembre de 2022, se ha utilizado un motor de ofuscación de malware conocido como BatCloak para distribuir diferentes tipos de malware sin que los sistemas antivirus lo detecten. Los investigadores de Trend Micro han declarado que estas muestras permiten a los actores de amenazas cargar sin esfuerzo numerosas familias de malware y exploits utilizando archivos por lotes altamente ofuscados. En particular, aproximadamente el 79,6 % de los 784 artefactos descubiertos no han sido detectados por todas las soluciones de seguridad, lo que indica la capacidad de BatCloak para evadir los métodos de detección tradicionales.
Archivos por lotes utilizados para ofuscar cargas útiles
El motor BatCloak juega un papel crucial en una herramienta de creación de archivos por lotes fácilmente disponible llamada Jlaive. Jlaive ofrece funciones como omitir la interfaz de escaneo antimalware (AMSI), comprimir y cifrar la carga útil principal para mejorar la evasión de seguridad. Aunque la herramienta de código abierto, inicialmente compartida en GitHub y GitLab en septiembre de 2022 por un desarrollador llamado ch2sh, se eliminó, se anunció como un "encriptador EXE a BAT". Desde entonces, ha sido clonado, modificado y portado a otros lenguajes de programación como Rust.
La carga útil final se oculta mediante tres capas de cargador: un cargador de C#, un cargador de PowerShell y un cargador por lotes. El cargador por lotes sirve como punto de partida para decodificar y desempaquetar cada etapa y, en última instancia, desencadenar el malware oculto. Dentro del cargador por lotes, se pueden encontrar un cargador de PowerShell ofuscado y un código binario C# cifrado. Los investigadores Peter Girnus y Aliakbar Zahravi explicaron que Jlaive utiliza BatCloak como un motor de ofuscación de archivos para ocultar el cargador por lotes y almacenarlo en el disco.
BatCloak actualizado continuamente
BatCloak ha sufrido múltiples actualizaciones y adaptaciones desde su aparición en la naturaleza, siendo la última versión ScrubCrypt. Fortinet FortiGuard Labs destacó ScrubCrypt en relación con una campaña de cryptojacking orquestada por 8220 Gang. En particular, ScrubCrypt está diseñado para ser compatible con varias familias de malware conocidas, incluidas Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT y Warzone RAT.