BatCloak 混淆引擎用於傳播未被發現的惡意軟件
自 2022 年 9 月以來,一種名為 BatCloak 的惡意軟件混淆引擎已被用於分發不同的惡意軟件菌株,而不會被防病毒系統檢測到。趨勢科技研究人員表示,這些樣本允許威脅行為者使用高度混淆的批處理文件毫不費力地加載大量惡意軟件家族和漏洞。值得注意的是,在所發現的 784 個工件中,約有 79.6% 仍未被所有安全解決方案檢測到,這表明 BatCloak 能夠逃避傳統檢測方法。
用於混淆有效負載的批處理文件
BatCloak 引擎在名為 Jlaive 的現成批處理文件生成器工具中起著至關重要的作用。 Jlaive 提供諸如繞過反惡意軟件掃描接口 (AMSI)、壓縮和加密主要有效負載以增強安全規避等功能。儘管最初由名為 ch2sh 的開發人員於 2022 年 9 月在 GitHub 和 GitLab 上共享的開源工具已被刪除,但它被宣傳為“EXE 到 BAT 加密器”。它已被克隆、修改並移植到其他編程語言,如 Rust。
最終的有效負載使用三個加載器層隱藏:一個 C# 加載器、一個 PowerShell 加載器和一個批處理加載器。批處理加載器作為解碼和解壓縮每個階段的起點,最終觸發隱藏的惡意軟件。在批處理加載器中,可以找到混淆的 PowerShell 加載器和加密的 C# 存根二進製文件。研究人員 Peter Girnus 和 Aliakbar Zahravi 解釋說,Jlaive 利用 BatCloak 作為文件混淆引擎來隱藏批處理加載程序並將其存儲在磁盤上。
蝙蝠斗篷持續更新
BatCloak自野外出現以來經歷了多次更新和適配,最新版本為ScrubCrypt。 Fortinet FortiGuard Labs 強調 ScrubCrypt 與 8220 Gang 策劃的加密貨幣劫持活動有關。值得注意的是,ScrubCrypt 旨在與各種知名惡意軟件系列兼容,包括 Amadey、AsyncRAT、DarkCrystal RAT、Pure Miner、Quasar RAT、RedLine Stealer、Remcos RAT、SmokeLoader、VenomRAT 和 Warzone RAT。