Трёхэтапная распаковка позволяет максимально скрытно поместить вредонос в целевую систему.
Исследователи компании Trend Micro сообщили в недавнем отчёте , что с сентября 2022 года злоумышленники активно используют движок для обфускации вредоносных программ под названием BatCloak, который позволяет киберпреступникам эффективно скрывать вредоносный код от антивирусных решений.
По данным специалистов, с помощью BatCloak злоумышленники могут легко загружать разные семейства вредоносных программ и эксплойты через сильно обфусцированные пакетные файлы. Из 784 обнаруженных исследователями вредоносных программ почти 80% не были зафиксированы ни одним из антивирусных движков VirusTotal.
BatCloak является основой для инструмента построения пакетных файлов под названием Jlaive, который умеет обходить Antimalware Scan Interface (AMSI), а также сжимать и шифровать основную полезную нагрузку для повышения уровня уклонения.
Инструмент Jlaive был опубликован на GitHub и GitLab в сентябре 2022 года разработчиком под псевдонимом ch2sh как «EXE to BAT crypter». С тех пор он был скопирован, модифицирован и перенесён на другие языки программирования.
Конечная полезная нагрузка представляет из себя «трёхслойный загрузчик» — C#-загрузчик, PowerShell-загрузчик и пакетный загрузчик. Последний служит отправной точкой для декодирования и распаковки каждого этапа, а в конечном итоге — запуска скрытого вируса.
https://www.securitylab.ru/upload/me...pf63aax7lf.png
Цепочка атаки с применением BatCloak
BatCloak получил много обновлений и адаптаций с тех пор, как впервые появился в дикой природе (ITW). Его последняя версия называется ScrubCrypt и была выделена специалистами Fortinet во время расследования операции по криптоджекингу , проводимой бандой 8220.
«Решение перейти от открытого фреймворка к закрытому, принятое разработчиком ScrubCrypt, можно объяснить достижениями предыдущих проектов, таких как Jlaive, а также желанием монетизировать проект и защитить его от несанкционированного копирования», — предположили специалисты Trend Micro.
Кроме того, ScrubCrypt спроектирован так, чтобы быть совместимым с различными известными семействами вредоносных программ, такими как Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT и Warzone RAT.
«Эволюция BatCloak подчёркивает гибкость и адаптивность этого движка и выделяет развитие FUD-обфускаторов пакетных файлов», — заключили исследователи.