A BatCloak Obfuscation Engine észrevétlenül rosszindulatú programokat terjeszt

2022 szeptembere óta a BatCloak néven ismert rosszindulatú programokat elfedő motort használják a rosszindulatú programok különböző törzseinek terjesztésére anélkül, hogy a víruskereső rendszerek észlelnék azokat. A Trend Micro kutatói kijelentették, hogy ezek a minták lehetővé teszik a fenyegetés szereplői számára, hogy könnyedén betöltsenek számos rosszindulatú programcsaládot és kihasználást, erősen homályos kötegfájlok segítségével. Figyelemre méltó, hogy a felfedezett 784 műtermék körülbelül 79,6%-át egyetlen biztonsági megoldás sem észlelte, ami azt jelzi, hogy a BatCloak képes kikerülni a hagyományos észlelési módszereket.

A hasznos terhek elhomályosítására használt kötegelt fájlok

A BatCloak motor döntő szerepet játszik a Jlaive nevű, könnyen elérhető kötegfájl-készítő eszközben. A Jlaive olyan funkciókat kínál, mint az Antimalware Scan Interface (AMSI) megkerülése, a fő hasznos adattömörítés és titkosítás a biztonsági kijátszás fokozása érdekében. Bár a nyílt forráskódú eszközt, amelyet eredetileg a GitHubon és a GitLabon osztott meg 2022 szeptemberében egy ch2sh nevű fejlesztő, eltávolították, „EXE to BAT crypterként” hirdették. Azóta klónozták, módosították, és más programozási nyelvekre, például a Rust-ra portolták.

A végső hasznos adatot három betöltőréteg rejti el: egy C#-betöltő, egy PowerShell-betöltő és egy kötegelt betöltő. A kötegelt betöltő kiindulópontként szolgál az egyes szakaszok dekódolásához és kicsomagolásához, végül elindítva a rejtett rosszindulatú programokat. A kötegelt betöltőn belül egy homályos PowerShell betöltő és egy titkosított C# csonk bináris található. Peter Girnus és Aliakbar Zahravi kutatók elmagyarázták, hogy a Jlaive a BatCloak-ot használja fájlelfedő motorként, hogy eltakarja a kötegelt betöltőt és tárolja azt a lemezen.

A BatCloak folyamatosan frissül

A BatCloak a vadonban való megjelenése óta számos frissítésen és adaptáción esett át, a legújabb verzió a ScrubCrypt. A Fortinet FortiGuard Labs kiemelte a ScrubCryptet a 8220 Gang által szervezett kriptográfiai kampány kapcsán. Nevezetesen, a ScrubCrypt úgy lett kialakítva, hogy kompatibilis legyen számos jól ismert rosszindulatú programcsaláddal, köztük az Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT és Warzone RAT.