Pesquisadores da Trend Micro relataram recentemente que desde setembro 2022, os invasores têm usado ativamente um mecanismo de ofuscação de malware chamado BatCloak, que permite que os cibercriminosos ocultem efetivamente códigos maliciosos de soluções antivírus.
De acordo com os especialistas, com Capa de morcego os invasores podem baixar facilmente diferentes famílias de malware e explorações por meio de arquivos em lote altamente ofuscados. Do 784 malware detectado por pesquisadores, quase 80% não foram detectados por nenhum VirusTotal motores antivírus.
Deixe-me lembrá-lo de que também escrevemos isso Bate-papoGPT Tornou-se uma nova ferramenta para cibercriminosos em engenharia social, e também isso Hacker russo vende ferramenta Terminator que supostamente é capaz de contornar qualquer programa antivírus.
BatCloak é a base para uma ferramenta de construção de arquivos em lote chamada Jlive que pode ignorar a interface de verificação antimalware (AMSI) e compactar e criptografar a carga principal para aumentar os níveis de evasão.
A ferramenta Jlaive foi publicada em GitHub e GitLab em setembro 2022 por um desenvolvedor sob o pseudônimo ch2sh como “Criptografar EXE para BAT“. Desde então foi copiado, modificado e portado para outras linguagens de programação.
A carga final é um “carregador de três camadas” – um carregador C#, um carregador PowerShell, e um carregador de lote. Este último serve como ponto de partida para decodificar e descompactar cada estágio, e, finalmente, lançando o vírus oculto.
Cadeia de ataque BatCloak
BatCloak recebeu muitas atualizações e adaptações desde que apareceu pela primeira vez na natureza (ITW). Sua versão mais recente é chamada ScrubCrypt e foi isolado por Fortuna especialistas durante uma investigação sobre uma operação de cryptojacking pelo 8220 gangue.
Além disso, ScrubCrypt foi projetado para ser compatível com várias famílias de malware conhecidas, como Preparar, AsyncRAT, RATO Cristal Escuro, Mineiro Puro, Quasar RATO, Ladrão RedLine, Remcos RAT, Carregador de Fumaça, VenomRAT, e RAT da zona de guerra.