Обфускационный движок BatCloak используется для незаметного распространения вредоносного ПО
С сентября 2022 года механизм запутывания вредоносных программ, известный как BatCloak, используется для распространения различных штаммов вредоносных программ без обнаружения антивирусными системами. Исследователи Trend Micro заявили, что эти образцы позволяют злоумышленникам без особых усилий загружать многочисленные семейства вредоносных программ и эксплойтов, используя сильно запутанные пакетные файлы. Примечательно, что примерно 79,6% из 784 обнаруженных артефактов остались незамеченными всеми решениями безопасности, что указывает на способность BatCloak уклоняться от традиционных методов обнаружения.
Пакетные файлы, используемые для запутывания полезных нагрузок
Механизм BatCloak играет решающую роль в легкодоступном инструменте для создания пакетных файлов под названием Jlaive. Jlaive предлагает такие функции, как обход интерфейса сканирования на наличие вредоносных программ (AMSI), сжатие и шифрование основной полезной нагрузки для повышения уклонения от безопасности. Хотя инструмент с открытым исходным кодом, первоначально опубликованный на GitHub и GitLab в сентябре 2022 года разработчиком по имени ch2sh, был удален, он рекламировался как «шифровальщик EXE в BAT». С тех пор его клонировали, модифицировали и портировали на другие языки программирования, такие как Rust.
Конечная полезная нагрузка скрыта с помощью трех уровней загрузчика: загрузчика C#, загрузчика PowerShell и пакетного загрузчика. Пакетный загрузчик служит отправной точкой для декодирования и распаковки каждого этапа, что в конечном итоге запускает скрытое вредоносное ПО. В пакетном загрузчике можно найти запутанный загрузчик PowerShell и зашифрованный двоичный файл-заглушку C#. Исследователи Питер Гирнус и Алиакбар Захрави объяснили, что Jlaive использует BatCloak в качестве механизма запутывания файлов, чтобы скрыть пакетный загрузчик и сохранить его на диске.
BatCloak постоянно обновляется
BatCloak претерпел множество обновлений и адаптаций с момента своего появления в дикой природе, последней версией является ScrubCrypt. Fortinet FortiGuard Labs выделила ScrubCrypt в связи с кампанией криптоджекинга, организованной бандой 8220. Примечательно, что ScrubCrypt совместим с различными известными семействами вредоносных программ, включая Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT и Warzone RAT.