Entfesseln Sie die Leistungsfähigkeit der BatCloak-Engine: Cyberkriminelle erreichen eine vollständige Tarnung von Malware

Seit September 2022 nutzen Cyberkriminelle BatCloak, eine leistungsstarke und vollständig nicht erkennbare (FUD) Malware-Verschleierungs-Engine, um eine Reihe von Malware-Stämmen einzusetzen. Trotz hartnäckiger Bemühungen von Antivirensoftware ist es BatCloak gelungen, der Erkennung zu entgehen und es Bedrohungsakteuren zu ermöglichen, verschiedene Malware-Familien und Exploits nahtlos über stark verschleierte Batch-Dateien zu laden.

Laut Forschern von Trend Micro bleiben alarmierende 79,6 % der 784 entdeckten Artefakte von allen Sicherheitslösungen unentdeckt, was die Wirksamkeit von BatCloak bei der Umgehung herkömmlicher Erkennungsmechanismen unterstreicht.

Die Mechanik in der BatCloak Engine

Jlaive, ein handelsüblicher Batch-Datei-Builder, verlässt sich zur erweiterten Sicherheitsumgehung auf die leistungsstarke BatCloak-Engine. Es kann die Antimalware Scan Interface (AMSI) umgehen, Nutzlasten verschlüsseln und komprimieren und dient als „EXE-zu-BAT-Crypter“.

Obwohl das Open-Source-Tool kurz nach seiner Veröffentlichung durch ch2sh im September 2022 von GitHub und GitLab verschwunden war, haben andere Akteure es geklont, modifiziert und sogar auf Rust portiert. Die endgültige Nutzlast ist in drei Loader-Ebenen verborgen: einem C#-Loader, einem PowerShell-Loader und einem Batch-Loader. Dieser Batch-Loader, der Ausgangspunkt, dekodiert und entpackt jede Phase, um die versteckte Malware zu aktivieren. Die Forscher Peter Girnus und Aliakbar Zahravi hoben das Vorhandensein eines verschleierten PowerShell-Loaders und einer verschlüsselten C#-Stub-Binärdatei im Batch-Loader hervor. Letztlich nutzt Jlaive BatCloak als Datei-Verschleierungs-Engine, um den Batch-Loader zu schützen und ihn auf einer Festplatte zu speichern.

ScrubCrypt: Die nächste Entwicklung von BatCloak

BatCloak, eine hochdynamische Malware-Verschleierungs-Engine, hat seit ihrer Einführung erhebliche Fortschritte und Anpassungen erfahren. Eine seiner jüngsten Versionen, bekannt als ScrubCrypt, erregte Aufmerksamkeit, als Fortinet FortiGuard Labs es mit einer Kryptojacking-Kampagne in Verbindung brachte, die von der berüchtigten 8220-Gang inszeniert wurde. Die Entscheidung des Entwicklers, von einem Open-Source-Framework zu einem Closed-Source-Modell überzugehen, wurde durch die Erfolge früherer Unternehmungen wie Jlaive und das Ziel motiviert, das Projekt zu monetarisieren und es vor unbefugter Replikation zu schützen.

Forscher behaupten, dass sich ScrubCrypt nahtlos in verschiedene bekannte Malware-Familien integrieren lässt, darunter Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT und Warzone RAT . Diese Weiterentwicklung von BatCloak veranschaulicht seine Anpassungsfähigkeit und Vielseitigkeit als leistungsstarker FUD-Batch-Ofuskator und unterstreicht seine Verbreitung in der sich ständig weiterentwickelnden Bedrohungslandschaft.