Motore di offuscamento BatCloak utilizzato per diffondere malware senza essere rilevato
Da settembre 2022, un motore di offuscamento del malware noto come BatCloak è stato utilizzato per distribuire diversi ceppi di malware senza essere rilevato dai sistemi antivirus. I ricercatori di Trend Micro hanno affermato che questi campioni consentono agli attori delle minacce di caricare facilmente numerose famiglie di malware ed exploit utilizzando file batch altamente offuscati. In particolare, circa il 79,6% dei 784 artefatti scoperti non è stato rilevato da tutte le soluzioni di sicurezza, indicando la capacità di BatCloak di eludere i metodi di rilevamento tradizionali.
File batch utilizzati per offuscare i payload
Il motore BatCloak svolge un ruolo cruciale in uno strumento di creazione di file batch prontamente disponibile chiamato Jlaive. Jlaive offre funzionalità come il bypass dell'Antimalware Scan Interface (AMSI), la compressione e la crittografia del payload principale per migliorare l'evasione della sicurezza. Sebbene lo strumento open source, inizialmente condiviso su GitHub e GitLab nel settembre 2022 da uno sviluppatore chiamato ch2sh, sia stato rimosso, è stato pubblicizzato come "EXE to BAT crypter". Da allora è stato clonato, modificato e portato su altri linguaggi di programmazione come Rust.
Il payload finale viene nascosto utilizzando tre livelli di caricamento: un caricatore C#, un caricatore PowerShell e un caricatore batch. Il caricatore batch funge da punto di partenza per decodificare e decomprimere ogni fase, attivando infine il malware nascosto. All'interno del caricatore batch è possibile trovare un caricatore di PowerShell offuscato e un binario stub C# crittografato. I ricercatori Peter Girnus e Aliakbar Zahravi hanno spiegato che Jlaive utilizza BatCloak come motore di offuscamento dei file per oscurare il batch loader e memorizzarlo sul disco.
BatCloak aggiornato continuamente
BatCloak ha subito numerosi aggiornamenti e adattamenti dalla sua apparizione in natura, con l'ultima versione di ScrubCrypt. Fortinet FortiGuard Labs ha evidenziato ScrubCrypt in relazione a una campagna di cryptojacking orchestrata dalla 8220 Gang. In particolare, ScrubCrypt è progettato per essere compatibile con varie famiglie di malware ben note, tra cui Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT e Warzone RAT.