BatCloak Obfuscation Engine gebruikt om malware onopgemerkt te verspreiden
Sinds september 2022 wordt een engine voor het verbergen van malware, BatCloak genaamd, gebruikt om verschillende soorten malware te verspreiden zonder te worden gedetecteerd door antivirussystemen. Onderzoekers van Trend Micro hebben verklaard dat deze voorbeelden bedreigingsactoren in staat stellen moeiteloos talloze malwarefamilies en exploits te laden met behulp van sterk versluierde batchbestanden. Met name is ongeveer 79,6% van de 784 ontdekte artefacten onopgemerkt gebleven door alle beveiligingsoplossingen, wat aangeeft dat BatCloak in staat is om traditionele detectiemethoden te omzeilen.
Batchbestanden die worden gebruikt om payloads te verdoezelen
De BatCloak-engine speelt een cruciale rol in een direct beschikbare tool voor het maken van batchbestanden, genaamd Jlaive. Jlaive biedt functies zoals het omzeilen van de Antimalware Scan Interface (AMSI), het comprimeren en versleutelen van de belangrijkste payload om beveiligingsontduiking te verbeteren. Hoewel de open-source tool, aanvankelijk gedeeld op GitHub en GitLab in september 2022 door een ontwikkelaar genaamd ch2sh, is verwijderd, werd er geadverteerd als een "EXE naar BAT-crypter". Sindsdien is het gekloond, aangepast en overgezet naar andere programmeertalen zoals Rust.
De uiteindelijke payload wordt verborgen met behulp van drie laderlagen: een C#-lader, een PowerShell-lader en een batchlader. De batchlader dient als startpunt voor het decoderen en uitpakken van elke fase, waardoor uiteindelijk de verborgen malware wordt geactiveerd. Binnen de batchlader kan een versluierde PowerShell-lader en een versleuteld C#-stub-binair bestand worden gevonden. Onderzoekers Peter Girnus en Aliakbar Zahravi legden uit dat Jlaive BatCloak gebruikt als een engine voor het verbergen van bestanden om de batchlader te verbergen en op de schijf op te slaan.
BatCloak wordt continu bijgewerkt
BatCloak heeft meerdere updates en aanpassingen ondergaan sinds het in het wild verscheen, met als laatste versie ScrubCrypt. Fortinet FortiGuard Labs benadrukte ScrubCrypt in verband met een cryptojacking-campagne georkestreerd door de 8220 Gang. ScrubCrypt is met name ontworpen om compatibel te zijn met verschillende bekende malwarefamilies, waaronder Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT en Warzone RAT.