Μια πλήρως μη ανιχνεύσιμη μηχανή (FUD) malware obfuscation με την ονομασία BatCloak χρησιμοποιείται για την ανάπτυξη διαφόρων στελεχών κακόβουλου λογισμικού από τον Σεπτέμβριο του 2022, αποφεύγοντας επίμονα την ανίχνευση από τα antivirus.
Δείτε επίσης: Fortinet: Διορθώνει κρίσιμο σφάλμα RCE στο Fortigate SSL VPN
Τα δείγματα παρέχουν “στους απειλητικούς παράγοντες τη δυνατότητα να φορτώνουν με ευκολία πολυάριθμες οικογένειες κακόβουλου λογισμικού και exploits μέσω εξαιρετικά συγκεκαλυμμένων αρχείων batch”, δήλωσαν οι ερευνητές της Trend Micro.
Περίπου το 79,6% από τα συνολικά 784 τεχνουργήματα που ανακαλύφθηκαν δεν έχουν ανίχνευση σε όλες τις λύσεις ασφαλείας, πρόσθεσε η εταιρεία κυβερνοασφάλειας, υπογραμμίζοντας την ικανότητα του BatCloak να παρακάμπτει τους παραδοσιακούς μηχανισμούς ανίχνευσης.
Η μηχανή BatCloak αποτελεί το βασικό στοιχείο ενός έτοιμου εργαλείου κατασκευής αρχείων batch που ονομάζεται Jlaive, το οποίο διαθέτει δυνατότητες παράκαμψης του Antimalware Scan Interface (AMSI), καθώς και συμπίεσης και κρυπτογράφησης του πρωτογενούς ωφέλιμου φορτίου για την επίτευξη αυξημένης διαφυγής ασφαλείας.
Δείτε επίσης: Strava: Loophole επιτρέπει την πρόσβαση σε διευθύνσεις σπιτιών
Το εργαλείο ανοιχτού κώδικα, αν και καταργήθηκε από τότε που έγινε διαθέσιμο μέσω του GitHub και του GitLab τον Σεπτέμβριο του 2022 από έναν προγραμματιστή με το όνομα ch2sh, έχει διαφημιστεί ως “EXE to BAT crypter”. Έκτοτε έχει κλωνοποιηθεί και τροποποιηθεί από άλλους φορείς και μεταφέρθηκε σε γλώσσες όπως η Rust.
Το τελικό ωφέλιμο φορτίο ενθυλακώνεται χρησιμοποιώντας τρία επίπεδα loader: έναν loader C#, έναν loader PowerShell και έναν batch loader- ο τελευταίος από τους οποίους λειτουργεί ως σημείο εκκίνησης για την αποκωδικοποίηση, την αποσυσκευασία κάθε σταδίου και τελικά την πυροδότηση του κρυμμένου κακόβουλου λογισμικού.
Το BatCloak φέρεται να έχει λάβει πολυάριθμες ενημερώσεις και προσαρμογές από την στιγμή που κυκλοφόρησε, με πιο πρόσφατη έκδοση του να είναι η ScrubCrypt, η οποία επισημάνθηκε για πρώτη φορά από την Fortinet FortiGuard Labs σε σχέση με μια επιχείρηση cryptojacking που διεξήγαγε η 8220 Gang.
«Η απόφαση για μετάβαση από ένα πλαίσιο ανοιχτού κώδικα σε μοντέλο κλειστού κώδικα, που ελήφθη από τον προγραμματιστή του ScrubCrypt, μπορεί να αποδοθεί στα επιτεύγματα προηγούμενων έργων όπως το Jlaive, καθώς και στην επιθυμία δημιουργίας εσόδων από το έργο και διασφάλισής του κατά της μη εξουσιοδοτημένης αναπαραγωγής», είπαν οι ερευνητές.
Δείτε επίσης: Η ομάδα Pink Drainer υποδύεται δημοσιογράφους σε επιθέσεις phishing
Επιπλέον, το ScrubCrypt έχει σχεδιαστεί για να είναι διαλειτουργικό με διάφορες γνωστές οικογένειες κακόβουλου λογισμικού όπως Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT και Warzone RAT.
Πηγή πληροφοριών: thehackernews.com
 malware obfuscation με την ονομασία BatCloak χρησιμοποιείται για την ανάπτυξη διαφόρων...){kind=link}