BatCloak-Malware

Cybersicherheitsanalysten haben einen ausgeklügelten, mehrstufigen Angriff aufgedeckt, bei dem Phishing-Köder mit Rechnungsthema als Vehikel für die Verbreitung einer Reihe von Bedrohungssoftware eingesetzt werden, darunter VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT und ein auf Krypto-Wallets ausgerichteter Stealer.

Diese betrügerischen E-Mails enthalten Anhänge in Form von SVG-Dateien (Scalable Vector Graphics). Sobald diese Dateien geöffnet werden, lösen sie eine Reihe von Infektionen aus. Bemerkenswert bei dieser Operation ist die Verwendung der Malware-Verschleierungs-Engine BatCloak und von ScrubCrypt, um die Malware durch verschleierte Batch-Skripte zu verbreiten.

Die BatCloak-Malware erleichtert die Bereitstellung von Payloads der nächsten Stufe

BatCloak, das seit Ende 2022 von anderen Bedrohungsakteuren erworben werden kann, stammt von einem Tool namens Jlaive. Seine Hauptfunktion besteht darin, das Laden einer Nutzlast der nächsten Stufe auf eine Weise zu erleichtern, die herkömmlichen Erkennungsmethoden entgeht.

ScrubCrypt wurde erstmals im März 2023 von Forschern während einer von der 8220 Gang orchestrierten Cryptojacking-Kampagne identifiziert und gilt nach Erkenntnissen von Trend Micro aus dem letzten Jahr als eine der Iterationen von BatCloak.

In der jüngsten von Cybersicherheitsspezialisten untersuchten Kampagne fungiert die SVG-Datei als Kanal zum Bereitstellen eines ZIP-Archivs, das ein wahrscheinlich mit BatCloak erstelltes Batch-Skript enthält. Dieses Skript entpackt dann die ScrubCrypt-Batchdatei, um schließlich Venom RAT auszuführen, nachdem es Persistenz auf dem Host hergestellt und Maßnahmen zum Umgehen der AMSI- und ETW-Schutzmaßnahmen implementiert hat.

Cyberkriminelle verbreiten zahlreiche Malware-Bedrohungen über BatCloak

Als Ableger des Quasar RAT ermöglicht Venom RAT Angreifern, kompromittierte Systeme zu übernehmen, vertrauliche Daten zu sammeln und Befehle von einem Command-and-Control-Server (C2) auszuführen. Obwohl die Kernfunktionalität von Venom RAT unkompliziert erscheint, stellt es Kommunikationskanäle mit dem C2-Server her, um zusätzliche Plugins für verschiedene Aktivitäten zu beschaffen. Dazu gehören Venom RAT v6.0.3, das mit Keylogger-Funktionen ausgestattet ist, sowie NanoCore RAT, XWorm und Remcos RAT. Das Remcos RAT-Plugin wird von VenomRATs C2 über drei Methoden verbreitet: ein verschleiertes VBS-Skript namens „remcos.vbs“, ScrubCrypt und GuLoader PowerShell.

Über das Plug-in-System wird außerdem ein Stealer verbreitet, der Systeminformationen stiehlt und Daten aus Ordnern, die mit Wallets und Anwendungen wie Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ab März 2023 eingestellt), Zcash, Foxmail und Telegram verknüpft sind, auf einen Remote-Server absaugt.

Der dokumentierte, ausgeklügelte Angriff nutzt mehrere Ebenen von Verschleierungs- und Ausweichtaktiken, um VenomRAT über ScrubCrypt zu verbreiten und auszuführen. Die Täter nutzen verschiedene Mittel, darunter Phishing-E-Mails mit bösartigen Anhängen, verschleierte Skriptdateien und Guloader PowerShell, um in die Systeme der Opfer einzudringen und diese zu kompromittieren. Darüber hinaus unterstreicht die Bereitstellung von Plugins über verschiedene Payloads die Vielseitigkeit und Anpassungsfähigkeit der Angriffskampagne.