O novo mecanismo de ofuscação do BatCloak supera o desempenho 80% de antivírus

Batcloak obfuscation engine

Pesquisadores da Trend Micro relataram recentemente que desde setembro 2022, os invasores têm usado ativamente um mecanismo de ofuscação de malware chamado BatCloak, que permite que os cibercriminosos ocultem efetivamente códigos maliciosos de soluções antivírus.

De acordo com os especialistas, com Capa de morcego os invasores podem baixar facilmente diferentes famílias de malware e explorações por meio de arquivos em lote altamente ofuscados. Do 784 malware detectado por pesquisadores, quase 80% não foram detectados por nenhum VirusTotal motores antivírus.

Deixe-me lembrá-lo de que também escrevemos isso Bate-papoGPT Tornou-se uma nova ferramenta para cibercriminosos em engenharia social, e também isso Hacker russo vende ferramenta Terminator que supostamente é capaz de contornar qualquer programa antivírus.

BatCloak é a base para uma ferramenta de construção de arquivos em lote chamada Jlive que pode ignorar a interface de verificação antimalware (AMSI) e compactar e criptografar a carga principal para aumentar os níveis de evasão.

A ferramenta Jlaive foi publicada em GitHub e GitLab em setembro 2022 por um desenvolvedor sob o pseudônimo ch2sh como “Criptografar EXE para BAT“. Desde então foi copiado, modificado e portado para outras linguagens de programação.

A carga final é um “carregador de três camadas” – um carregador C#, um carregador PowerShell, e um carregador de lote. Este último serve como ponto de partida para decodificar e descompactar cada estágio, e, finalmente, lançando o vírus oculto.

Mecanismo de ofuscação Batcloak
Cadeia de ataque BatCloak

BatCloak recebeu muitas atualizações e adaptações desde que apareceu pela primeira vez na natureza (ITW). Sua versão mais recente é chamada ScrubCrypt e foi isolado por Fortuna especialistas durante uma investigação sobre uma operação de cryptojacking pelo 8220 gangue.

A decisão de passar de um quadro aberto para um fechado, feito pelo desenvolvedor ScrubCrypt, pode ser explicado pelas realizações de projetos anteriores, como Jlaive, bem como o desejo de monetizar o projeto e protegê-lo de cópias não autorizadas.Tendência Micro especialistas sugeriram.

Além disso, ScrubCrypt foi projetado para ser compatível com várias famílias de malware conhecidas, como Preparar, AsyncRAT, RATO Cristal Escuro, Mineiro Puro, Quasar RATO, Ladrão RedLine, Remcos RAT, Carregador de Fumaça, VenomRAT, e RAT da zona de guerra.

A evolução do BatCloak destaca a flexibilidade e adaptabilidade deste motor e destaca o desenvolvimento de ofuscadores FUD de arquivos em lote.os pesquisadores concluíram.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *