Moteur d'obscurcissement BatCloak utilisé pour diffuser des logiciels malveillants sans être détectés

foudre malware

Depuis septembre 2022, un moteur d'obfuscation de logiciels malveillants connu sous le nom de BatCloak a été utilisé pour distribuer différentes souches de logiciels malveillants sans être détecté par les systèmes antivirus. Les chercheurs de Trend Micro ont déclaré que ces échantillons permettent aux acteurs de la menace de charger sans effort de nombreuses familles de logiciels malveillants et exploits à l'aide de fichiers batch hautement obscurcis. Notamment, environ 79,6 % des 784 artefacts découverts sont restés non détectés par toutes les solutions de sécurité, ce qui indique la capacité de BatCloak à échapper aux méthodes de détection traditionnelles.

Fichiers batch utilisés pour obscurcir les charges utiles

Le moteur BatCloak joue un rôle crucial dans un outil de création de fichiers batch facilement disponible appelé Jlaive. Jlaive offre des fonctionnalités telles que le contournement de l'interface d'analyse antimalware (AMSI), la compression et le cryptage de la charge utile principale pour améliorer l'évasion de la sécurité. Bien que l'outil open source, initialement partagé sur GitHub et GitLab en septembre 2022 par un développeur nommé ch2sh, ait été supprimé, il a été annoncé comme un "crypteur EXE vers BAT". Il a depuis été cloné, modifié et porté sur d'autres langages de programmation comme Rust.

La charge utile finale est masquée à l'aide de trois couches de chargeur : un chargeur C#, un chargeur PowerShell et un chargeur par lots. Le chargeur par lots sert de point de départ pour décoder et décompresser chaque étape, déclenchant finalement le malware caché. Dans le chargeur par lots, un chargeur PowerShell obscurci et un binaire de stub C# chiffré peuvent être trouvés. Les chercheurs Peter Girnus et Aliakbar Zahravi ont expliqué que Jlaive utilise BatCloak comme moteur d'obfuscation de fichiers pour masquer le chargeur par lots et le stocker sur le disque.

BatCloak mis à jour en continu

BatCloak a subi de multiples mises à jour et adaptations depuis son apparition dans la nature, la dernière version étant ScrubCrypt. Fortinet FortiGuard Labs a mis en avant ScrubCrypt dans le cadre d'une campagne de cryptojacking orchestrée par le 8220 Gang. Notamment, ScrubCrypt est conçu pour être compatible avec diverses familles de logiciels malveillants bien connus, notamment Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT et Warzone RAT.

Par Zaib
June 12, 2023
Computer Security
Français
June 12, 2023
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.