BatCloak Obfuscation Engine används för att sprida skadlig programvara oupptäckt
Sedan september 2022 har en förvirringsmotor för skadlig programvara känd som BatCloak använts för att distribuera olika stammar av skadlig programvara utan att upptäckas av antivirussystem. Trend Micro-forskare har konstaterat att dessa prover tillåter hotaktörer att utan ansträngning ladda många skadliga programfamiljer och exploateringar med hjälp av mycket obfuskerade batchfiler. Noterbart är att cirka 79,6 % av de 784 artefakter som upptäckts har förblivit oupptäckta av alla säkerhetslösningar, vilket indikerar BatCloaks förmåga att undvika traditionella detekteringsmetoder.
Batchfiler som används för att obfuskera nyttolaster
BatCloak-motorn spelar en avgörande roll i ett lättillgängligt batchfilbyggarverktyg som heter Jlaive. Jlaive erbjuder funktioner som att kringgå Antimalware Scan Interface (AMSI), komprimera och kryptera den huvudsakliga nyttolasten för att förbättra säkerhetsflykten. Även om verktyget med öppen källkod, som ursprungligen delades på GitHub och GitLab i september 2022 av en utvecklare vid namn ch2sh, har tagits bort, annonserades det som en "EXE till BAT-kryptering." Det har sedan klonats, modifierats och porterats till andra programmeringsspråk som Rust.
Den slutliga nyttolasten döljs med hjälp av tre laddare: en C#-lastare, en PowerShell-lastare och en batch-lastare. Batch-laddaren fungerar som startpunkten för att avkoda och packa upp varje steg, vilket slutligen utlöser den dolda skadliga programvaran. Inom batch-laddaren kan en obfuskerad PowerShell-lastare och en krypterad C#-stubbinär hittas. Forskarna Peter Girnus och Aliakbar Zahravi förklarade att Jlaive använder BatCloak som en filobfuskeringsmotor för att skymma batchladdaren och lagra den på disken.
BatCloak uppdateras kontinuerligt
BatCloak har genomgått flera uppdateringar och anpassningar sedan dess uppträdande i naturen, med den senaste versionen ScrubCrypt. Fortinet FortiGuard Labs lyfte fram ScrubCrypt i samband med en kryptojackningskampanj orkestrerad av 8220-gänget. Speciellt är ScrubCrypt designad för att vara kompatibel med olika välkända skadliga programfamiljer, inklusive Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT och Warzone RAT.