Οι ερευνητές ασφαλείας προειδοποιούν ότι οι malware developers υιοθετούν ένα εύχρηστο εργαλείο obfuscation προκειμένου να περάσουν το κακόβουλο λογισμικό από τα antivirus.
Μια μηχανή batch file obfuscation, γνωστή ως BatCloak, απαιτεί ελάχιστες δεξιότητες προγραμματισμού για τη χρήση της. Μεταξύ των πρόσφατων επιτυχιών του είναι ένα πρόσφατο remote access Trojan με το όνομα SeroXen, το οποίο ερευνητές από πολλές εταιρείες είπαν ότι αντιστέκεται στην ανίχνευση από εργαλεία antivirus και endpoint detection and response.
Ένα δείγμα SeroXen που αναλύθηκε από την AT&T τον Μάιο δεν προκάλεσε καμία ανίχνευση στο VirusTotal. Η ανάλυση που δημοσιεύθηκε από την Trend Micro νωρίτερα αυτό το μήνα, σε εκατοντάδες μολυσμένα δείγματα batch file που ελήφθησαν από ένα δημόσιο repository, κατέληξε στο συμπέρασμα ότι το BatCloak θωράκισε το 80% των αρχείων από την ανίχνευση από το λογισμικό ασφαλείας. Τα αρχεία δέσμης, που συχνά χαρακτηρίζονται με την επέκταση .bat, είναι αρχεία απλού κειμένου που περιέχουν σενάρια για έναν διερμηνέα γραμμής εντολών.
Το SeroXen εμφανίστηκε στα τέλη του 2022, με τιμή λιανικής πώλησης 30 δολάρια το μήνα. Πρόκειται για μια παραλλαγή του καθιερωμένου Quasar RAT, όπως ανέφερε η AT&T. Ο χάκερ που προφανώς βρίσκεται πίσω από το SeroXen χρησιμοποίησε έναν ακόμη ενεργό ιστότοπο, το seroxen.net, για να διανείμει το Trojan- ο ιστότοπος αναφέρει επί του παρόντος ότι οι πωλήσεις έχουν ανασταλεί. Ο ιστότοπος προώθησε το κακόβουλο λογισμικό ως “πλήρως μη ανιχνεύσιμο” ή “FUD”.
Την Πέμπτη, η TrendMicro δημοσίευσε μια ανάλυση που αναφέρει ότι μια από τις τεχνικές που χρησιμοποιεί το BatCloak για να κρύψει το SeroXen από την ανίχνευση είναι μια εξελιγμένη μορφή string manipulation, η οποία συσκοτίζει τη χρήση του κακόβουλου λογισμικού από τη διεπαφή της γραμμής εντολών των Windows για τον καθορισμό μεταβλητών περιβάλλοντος μέσω της εντολής “set”.
Το SeroXen συνδέει μεταβλητές μεταξύ τους προκειμένου να εκτελέσει μια εντολή – μια μέθοδος που χρησιμοποιούν οι προγραμματιστές κακόβουλου λογισμικού προκειμένου να αποτρέψουν τον εντοπισμό κακόβουλων εντολών. Τελικά, χρησιμοποιεί obfuscated PowerShell commands για να αποκρυπτογραφήσει και να παραδώσει έναν loader .NET.
Ο loader .bat έπεσε για πρώτη φορά στην αντίληψη των ερευνητών ως η μηχανή obfuscation του Jlaive, ενός open-source batch file builder που άρχισε να κυκλοφορεί μεταξύ των χάκερς το 2022. Η TrendMicro αναφέρει ότι η πιο πρόσφατη έκδοση της μηχανής BatCloak πωλείται ως “ScrubCrypt”. Η απόφαση των προγραμματιστών της να πουλήσουν πρόσβαση, αντί να κάνουν το ντεμπούτο τους με ένα νέο εργαλείο ανοιχτού κώδικα, οφείλεται πιθανότατα στην επιτυχία του Jlaive καθώς και στην επιθυμία τους να αξιοποιήσουν το έργο και να το προστατεύσουν από μη εξουσιοδοτημένη αντιγραφή.
Πηγή πληροφοριών: bankinfosecurity.com
