Moteur d'obscurcissement BatCloak utilisé pour diffuser des logiciels malveillants sans être détectés
Depuis septembre 2022, un moteur d'obfuscation de logiciels malveillants connu sous le nom de BatCloak a été utilisé pour distribuer différentes souches de logiciels malveillants sans être détecté par les systèmes antivirus. Les chercheurs de Trend Micro ont déclaré que ces échantillons permettent aux acteurs de la menace de charger sans effort de nombreuses familles de logiciels malveillants et exploits à l'aide de fichiers batch hautement obscurcis. Notamment, environ 79,6 % des 784 artefacts découverts sont restés non détectés par toutes les solutions de sécurité, ce qui indique la capacité de BatCloak à échapper aux méthodes de détection traditionnelles.
Fichiers batch utilisés pour obscurcir les charges utiles
Le moteur BatCloak joue un rôle crucial dans un outil de création de fichiers batch facilement disponible appelé Jlaive. Jlaive offre des fonctionnalités telles que le contournement de l'interface d'analyse antimalware (AMSI), la compression et le cryptage de la charge utile principale pour améliorer l'évasion de la sécurité. Bien que l'outil open source, initialement partagé sur GitHub et GitLab en septembre 2022 par un développeur nommé ch2sh, ait été supprimé, il a été annoncé comme un "crypteur EXE vers BAT". Il a depuis été cloné, modifié et porté sur d'autres langages de programmation comme Rust.
La charge utile finale est masquée à l'aide de trois couches de chargeur : un chargeur C#, un chargeur PowerShell et un chargeur par lots. Le chargeur par lots sert de point de départ pour décoder et décompresser chaque étape, déclenchant finalement le malware caché. Dans le chargeur par lots, un chargeur PowerShell obscurci et un binaire de stub C# chiffré peuvent être trouvés. Les chercheurs Peter Girnus et Aliakbar Zahravi ont expliqué que Jlaive utilise BatCloak comme moteur d'obfuscation de fichiers pour masquer le chargeur par lots et le stocker sur le disque.
BatCloak mis à jour en continu
BatCloak a subi de multiples mises à jour et adaptations depuis son apparition dans la nature, la dernière version étant ScrubCrypt. Fortinet FortiGuard Labs a mis en avant ScrubCrypt dans le cadre d'une campagne de cryptojacking orchestrée par le 8220 Gang. Notamment, ScrubCrypt est conçu pour être compatible avec diverses familles de logiciels malveillants bien connus, notamment Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT et Warzone RAT.