Silnik zaciemniający BatCloak używany do niewykrywalnego rozprzestrzeniania złośliwego oprogramowania

Od września 2022 r. silnik zaciemniania złośliwego oprogramowania znany jako BatCloak jest wykorzystywany do dystrybucji różnych odmian złośliwego oprogramowania bez wykrywania przez systemy antywirusowe. Badacze firmy Trend Micro stwierdzili, że te próbki umożliwiają cyberprzestępcom bezproblemowe ładowanie wielu rodzin złośliwego oprogramowania i exploitów przy użyciu wysoce zaciemnionych plików wsadowych. Warto zauważyć, że około 79,6% z 784 odkrytych artefaktów pozostało niewykrytych przez wszystkie rozwiązania zabezpieczające, co wskazuje na zdolność BatCloak do unikania tradycyjnych metod wykrywania.

Pliki wsadowe używane do zaciemniania ładunków

Silnik BatCloak odgrywa kluczową rolę w łatwo dostępnym narzędziu do tworzenia plików wsadowych o nazwie Jlaive. Jlaive oferuje takie funkcje, jak omijanie interfejsu skanowania antymalware (AMSI), kompresowanie i szyfrowanie głównego ładunku w celu zwiększenia obchodzenia zabezpieczeń. Chociaż narzędzie typu open source, początkowo udostępnione w GitHub i GitLab we wrześniu 2022 r. przez programistę o nazwie ch2sh, zostało usunięte, było reklamowane jako „program szyfrujący EXE do BAT”. Od tego czasu został sklonowany, zmodyfikowany i przeniesiony do innych języków programowania, takich jak Rust.

Ostateczny ładunek jest ukryty za pomocą trzech warstw modułu ładującego: modułu ładującego C#, modułu ładującego programu PowerShell i modułu ładującego wsadowego. Ładowarka wsadowa służy jako punkt wyjścia do dekodowania i rozpakowywania każdego etapu, ostatecznie uruchamiając ukryte złośliwe oprogramowanie. W module ładującym wsadowym można znaleźć zaciemniony program ładujący PowerShell i zaszyfrowany plik binarny pośredniczący języka C#. Badacze Peter Girnus i Aliakbar Zahravi wyjaśnili, że Jlaive wykorzystuje BatCloak jako silnik do zaciemniania plików w celu zaciemnienia modułu ładującego i przechowywania go na dysku.

BatCloak aktualizowany w sposób ciągły

BatCloak przeszedł wiele aktualizacji i adaptacji od czasu jego pojawienia się na wolności, a najnowszą wersją jest ScrubCrypt. Fortinet FortiGuard Labs zwrócił uwagę na ScrubCrypt w związku z kampanią cryptojackingu zorganizowaną przez Gang 8220. Warto zauważyć, że ScrubCrypt został zaprojektowany tak, aby był kompatybilny z różnymi dobrze znanymi rodzinami złośliwego oprogramowania, w tym Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT i Warzone RAT.