BatCloak 混淆引擎用于传播未被发现的恶意软件

自 2022 年 9 月以来，一种名为 BatCloak 的恶意软件混淆引擎已被用于分发不同的恶意软件菌株，而不会被防病毒系统检测到。趋势科技研究人员表示，这些样本允许威胁行为者使用高度混淆的批处理文件毫不费力地加载大量恶意软件家族和漏洞。值得注意的是，在所发现的 784 个工件中，约有 79.6% 仍未被所有安全解决方案检测到，这表明 BatCloak 能够逃避传统检测方法。

用于混淆有效负载的批处理文件

BatCloak 引擎在名为 Jlaive 的现成批处理文件生成器工具中起着至关重要的作用。 Jlaive 提供诸如绕过反恶意软件扫描接口 (AMSI)、压缩和加密主要有效负载以增强安全规避等功能。尽管最初由名为 ch2sh 的开发人员于 2022 年 9 月在 GitHub 和 GitLab 上共享的开源工具已被删除，但它被宣传为“EXE 到 BAT 加密器”。它已被克隆、修改并移植到其他编程语言，如 Rust。

最终的有效负载使用三个加载器层隐藏：一个 C# 加载器、一个 PowerShell 加载器和一个批处理加载器。批处理加载器作为解码和解压缩每个阶段的起点，最终触发隐藏的恶意软件。在批处理加载器中，可以找到混淆的 PowerShell 加载器和加密的 C# 存根二进制文件。研究人员 Peter Girnus 和 Aliakbar Zahravi 解释说，Jlaive 利用 BatCloak 作为文件混淆引擎来隐藏批处理加载器并将其存储在磁盘上。

蝙蝠斗篷持续更新

BatCloak自野外出现以来经历了多次更新和适配，最新版本为ScrubCrypt。 Fortinet FortiGuard Labs 强调 ScrubCrypt 与 8220 Gang 策划的加密货币劫持活动有关。值得注意的是，ScrubCrypt 旨在与各种知名恶意软件系列兼容，包括 Amadey、AsyncRAT、DarkCrystal RAT、Pure Miner、Quasar RAT、RedLine Stealer、Remcos RAT、SmokeLoader、VenomRAT 和 Warzone RAT。