„BatCloak Obfuscation Engine“, naudojamas nepastebimai platinti kenkėjiškas programas

Nuo 2022 m. rugsėjo mėn. kenkėjiškų programų užmaskavimo variklis, žinomas kaip „BatCloak“, buvo naudojamas platinti įvairias kenkėjiškų programų atmainas, neaptinkant antivirusinių sistemų. „Trend Micro“ tyrėjai teigė, kad šie pavyzdžiai leidžia grėsmės veikėjams be vargo įkelti daugybę kenkėjiškų programų šeimų ir išnaudojimų naudojant labai užmaskuotus paketinius failus. Pažymėtina, kad maždaug 79,6 % iš 784 aptiktų artefaktų liko neaptikti jokiais saugumo sprendimais, o tai rodo, kad „BatCloak“ gali išvengti tradicinių aptikimo metodų.

Paketiniai failai, naudojami naudingiems kroviniams užmaskuoti

„BatCloak“ variklis atlieka lemiamą vaidmenį lengvai prieinamame paketinių failų kūrimo įrankyje, vadinamame „Jlaive“. „Jlaive“ siūlo tokias funkcijas kaip apsaugos nuo kenkėjiškų programų nuskaitymo sąsajos (AMSI) apėjimas, pagrindinės naudingosios apkrovos suspaudimas ir šifravimas, kad būtų išvengta saugumo. Nors atvirojo kodo įrankis, kurį iš pradžių GitHub ir GitLab 2022 m. rugsėjį bendrino kūrėjas, vardu ch2sh, buvo pašalintas, jis buvo reklamuojamas kaip „EXE to BAT šifravimo priemonė“. Nuo to laiko jis buvo klonuotas, modifikuotas ir perkeltas į kitas programavimo kalbas, pvz., Rust.

Galutinė naudingoji apkrova paslepiama naudojant tris kroviklio sluoksnius: C# krautuvę, PowerShell krautuvą ir paketinį krautuvą. Paketinis įkroviklis yra kiekvieno etapo iššifravimo ir išpakavimo pradžios taškas, galiausiai suaktyvindamas paslėptą kenkėjišką programą. Paketinėje įkroviklėje galima rasti užmaskuotą „PowerShell“ įkroviklį ir užšifruotą C# stuburo dvejetainį failą. Tyrėjai Peteris Girnus ir Aliakbar Zahravi paaiškino, kad Jlaive naudoja BatCloak kaip failų užmaskavimo variklį, kad paslėptų paketinį įkroviklį ir išsaugotų jį diske.

„BatCloak“ nuolat atnaujinama

Nuo tada, kai pasirodė gamtoje, „BatCloak“ buvo atnaujintas ir pritaikytas daug kartų, o naujausia versija yra „ScrubCrypt“. „Fortinet FortiGuard Labs“ pabrėžė „ScrubCrypt“, susijusią su šifravimo kampanija, kurią organizavo „8220 Gang“. Pažymėtina, kad ScrubCrypt sukurtas taip, kad būtų suderinamas su įvairiomis gerai žinomomis kenkėjiškų programų šeimomis, įskaitant Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT ir Warzone RAT.