BatCloak Obfuscation Engine brukes til å spre skadelig programvare uoppdaget
Siden september 2022 har en malware obfuskeringsmotor kjent som BatCloak blitt brukt til å distribuere forskjellige stammer av skadelig programvare uten å bli oppdaget av antivirussystemer. Trend Micro-forskere har uttalt at disse prøvene lar trusselaktører enkelt laste inn en rekke skadevarefamilier og utnyttelser ved å bruke svært uklare batchfiler. Spesielt har omtrent 79,6% av de 784 oppdagede gjenstandene forblitt uoppdaget av alle sikkerhetsløsninger, noe som indikerer BatCloaks evne til å unngå tradisjonelle deteksjonsmetoder.
Batch-filer som brukes til å skjule nyttelaster
BatCloak-motoren spiller en avgjørende rolle i et lett tilgjengelig batchfilbyggerverktøy kalt Jlaive. Jlaive tilbyr funksjoner som å omgå Antimalware Scan Interface (AMSI), komprimering og kryptering av hovednyttelasten for å forbedre sikkerhetsunndragelse. Selv om åpen kildekode-verktøyet, opprinnelig delt på GitHub og GitLab i september 2022 av en utvikler ved navn ch2sh, har blitt fjernet, ble det annonsert som en "EXE til BAT-kryptering." Det har siden blitt klonet, modifisert og portert til andre programmeringsspråk som Rust.
Den endelige nyttelasten er skjult ved hjelp av tre lasterlag: en C#-laster, en PowerShell-laster og en batch-laster. Batch-lasteren fungerer som utgangspunktet for å dekode og pakke ut hvert trinn, og til slutt utløse den skjulte skadelige programvaren. Innenfor batch-lasteren kan en obfuskert PowerShell-laster og en kryptert C#-stub-binær bli funnet. Forskerne Peter Girnus og Aliakbar Zahravi forklarte at Jlaive bruker BatCloak som en filobfuskasjonsmotor for å skjule batch-lasteren og lagre den på disken.
BatCloak Oppdateres kontinuerlig
BatCloak har gjennomgått flere oppdateringer og tilpasninger siden den dukket opp i naturen, med den nyeste versjonen ScrubCrypt. Fortinet FortiGuard Labs fremhevet ScrubCrypt i forbindelse med en kryptojacking-kampanje orkestrert av 8220-gjengen. Spesielt er ScrubCrypt designet for å være kompatibel med forskjellige kjente malware-familier, inkludert Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT og Warzone RAT.