Mecanismo de ofuscação BatCloak usado para espalhar malware sem ser detectado
Desde setembro de 2022, um mecanismo de ofuscação de malware conhecido como BatCloak tem sido utilizado para distribuir diferentes tipos de malware sem ser detectado por sistemas antivírus. Os pesquisadores da Trend Micro afirmaram que essas amostras permitem que os agentes de ameaças carreguem facilmente várias famílias de malware e exploits usando arquivos em lote altamente ofuscados. Notavelmente, aproximadamente 79,6% dos 784 artefatos descobertos permaneceram não detectados por todas as soluções de segurança, indicando a capacidade do BatCloak de escapar dos métodos tradicionais de detecção.
Arquivos em lote usados para ofuscar cargas úteis
O mecanismo BatCloak desempenha um papel crucial em uma ferramenta de criação de arquivos em lote prontamente disponível chamada Jlaive. O Jlaive oferece recursos como ignorar a interface de varredura antimalware (AMSI), compactar e criptografar a carga útil principal para aprimorar a evasão de segurança. Embora a ferramenta de código aberto, inicialmente compartilhada no GitHub e no GitLab em setembro de 2022 por um desenvolvedor chamado ch2sh, tenha sido removida, ela foi anunciada como um "criptador EXE para BAT". Desde então, foi clonado, modificado e portado para outras linguagens de programação como Rust.
A carga útil final é ocultada usando três camadas de carregador: um carregador C#, um carregador PowerShell e um carregador em lote. O carregador de lote serve como ponto de partida para decodificar e descompactar cada estágio, acionando o malware oculto. Dentro do carregador de lote, um carregador PowerShell ofuscado e um binário C# stub criptografado podem ser encontrados. Os pesquisadores Peter Girnus e Aliakbar Zahravi explicaram que o Jlaive utiliza o BatCloak como um mecanismo de ofuscação de arquivos para obscurecer o carregador de lote e armazená-lo no disco.
BatCloak atualizado continuamente
O BatCloak passou por várias atualizações e adaptações desde sua aparição na natureza, com a versão mais recente sendo ScrubCrypt. O Fortinet FortiGuard Labs destacou o ScrubCrypt em conexão com uma campanha de cryptojacking orquestrada pela gangue 8220. Notavelmente, o ScrubCrypt foi projetado para ser compatível com várias famílias de malware conhecidas, incluindo Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT e Warzone RAT.
