BatCloak Obfuscation Engine gebruikt om malware onopgemerkt te verspreiden

foudre malware

Sinds september 2022 wordt een engine voor het verbergen van malware, BatCloak genaamd, gebruikt om verschillende soorten malware te verspreiden zonder te worden gedetecteerd door antivirussystemen. Onderzoekers van Trend Micro hebben verklaard dat deze voorbeelden bedreigingsactoren in staat stellen moeiteloos talloze malwarefamilies en exploits te laden met behulp van sterk versluierde batchbestanden. Met name is ongeveer 79,6% van de 784 ontdekte artefacten onopgemerkt gebleven door alle beveiligingsoplossingen, wat aangeeft dat BatCloak in staat is om traditionele detectiemethoden te omzeilen.

Batchbestanden die worden gebruikt om payloads te verdoezelen

De BatCloak-engine speelt een cruciale rol in een direct beschikbare tool voor het maken van batchbestanden, genaamd Jlaive. Jlaive biedt functies zoals het omzeilen van de Antimalware Scan Interface (AMSI), het comprimeren en versleutelen van de belangrijkste payload om beveiligingsontduiking te verbeteren. Hoewel de open-source tool, aanvankelijk gedeeld op GitHub en GitLab in september 2022 door een ontwikkelaar genaamd ch2sh, is verwijderd, werd er geadverteerd als een "EXE naar BAT-crypter". Sindsdien is het gekloond, aangepast en overgezet naar andere programmeertalen zoals Rust.

De uiteindelijke payload wordt verborgen met behulp van drie laderlagen: een C#-lader, een PowerShell-lader en een batchlader. De batchlader dient als startpunt voor het decoderen en uitpakken van elke fase, waardoor uiteindelijk de verborgen malware wordt geactiveerd. Binnen de batchlader kan een versluierde PowerShell-lader en een versleuteld C#-stub-binair bestand worden gevonden. Onderzoekers Peter Girnus en Aliakbar Zahravi legden uit dat Jlaive BatCloak gebruikt als een engine voor het verbergen van bestanden om de batchlader te verbergen en op de schijf op te slaan.

BatCloak wordt continu bijgewerkt

BatCloak heeft meerdere updates en aanpassingen ondergaan sinds het in het wild verscheen, met als laatste versie ScrubCrypt. Fortinet FortiGuard Labs benadrukte ScrubCrypt in verband met een cryptojacking-campagne georkestreerd door de 8220 Gang. ScrubCrypt is met name ontworpen om compatibel te zijn met verschillende bekende malwarefamilies, waaronder Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT en Warzone RAT.

Tegen Zaib
June 12, 2023
Computer Security
Nederlands
June 12, 2023
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.