- 13,854
- 20
- 8 Ноя 2022
Трёхэтапная распаковка позволяет максимально скрытно поместить вредонос в целевую систему.
Исследователи компании Trend Micro сообщили в Для просмотра ссылки Войдиили Зарегистрируйся , что с сентября 2022 года злоумышленники активно используют движок для Для просмотра ссылки Войди или Зарегистрируйся вредоносных программ под названием BatCloak, который позволяет киберпреступникам эффективно скрывать вредоносный код от антивирусных решений.
По данным специалистов, с помощью BatCloak злоумышленники могут легко загружать разные семейства вредоносных программ и эксплойты через сильно обфусцированные пакетные файлы. Из 784 обнаруженных исследователями вредоносных программ почти 80% не были зафиксированы ни одним из антивирусных движков VirusTotal .
BatCloak является основой для инструмента построения пакетных файлов под названием Jlaive, который умеет обходить Antimalware Scan Interface ( AMSI ), а также сжимать и шифровать основную полезную нагрузку для повышения уровня уклонения.
Инструмент Jlaive был опубликован на GitHub и GitLab в сентябре 2022 года разработчиком под псевдонимом ch2sh как «EXE to BAT crypter». С тех пор он был скопирован, модифицирован и перенесён на другие языки программирования.
Конечная полезная нагрузка представляет из себя «трёхслойный загрузчик» — C#-загрузчик, PowerShell -загрузчик и пакетный загрузчик. Последний служит отправной точкой для декодирования и распаковки каждого этапа, а в конечном итоге — запуска скрытого вируса.
Цепочка атаки с применением BatCloak
BatCloak получил много обновлений и адаптаций с тех пор, как впервые появился в дикой природе ( ITW ). Его последняя версия называется ScrubCrypt и была выделена специалистами Fortinet во время расследования Для просмотра ссылки Войдиили Зарегистрируйся , проводимой бандой 8220.
«Решение перейти от открытого фреймворка к закрытому, принятое разработчиком ScrubCrypt, можно объяснить достижениями предыдущих проектов, таких как Jlaive, а также желанием монетизировать проект и защитить его от несанкционированного копирования», — предположили специалисты Trend Micro.
Кроме того, ScrubCrypt спроектирован так, чтобы быть совместимым с различными известными семействами вредоносных программ, такими как Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT и Warzone RAT.
«Эволюция BatCloak подчёркивает гибкость и адаптивность этого движка и выделяет развитие Для просмотра ссылки Войдиили Зарегистрируйся пакетных файлов», — заключили исследователи.
Исследователи компании Trend Micro сообщили в Для просмотра ссылки Войди
По данным специалистов, с помощью BatCloak злоумышленники могут легко загружать разные семейства вредоносных программ и эксплойты через сильно обфусцированные пакетные файлы. Из 784 обнаруженных исследователями вредоносных программ почти 80% не были зафиксированы ни одним из антивирусных движков VirusTotal .
BatCloak является основой для инструмента построения пакетных файлов под названием Jlaive, который умеет обходить Antimalware Scan Interface ( AMSI ), а также сжимать и шифровать основную полезную нагрузку для повышения уровня уклонения.
Инструмент Jlaive был опубликован на GitHub и GitLab в сентябре 2022 года разработчиком под псевдонимом ch2sh как «EXE to BAT crypter». С тех пор он был скопирован, модифицирован и перенесён на другие языки программирования.
Конечная полезная нагрузка представляет из себя «трёхслойный загрузчик» — C#-загрузчик, PowerShell -загрузчик и пакетный загрузчик. Последний служит отправной точкой для декодирования и распаковки каждого этапа, а в конечном итоге — запуска скрытого вируса.
Цепочка атаки с применением BatCloak
BatCloak получил много обновлений и адаптаций с тех пор, как впервые появился в дикой природе ( ITW ). Его последняя версия называется ScrubCrypt и была выделена специалистами Fortinet во время расследования Для просмотра ссылки Войди
«Решение перейти от открытого фреймворка к закрытому, принятое разработчиком ScrubCrypt, можно объяснить достижениями предыдущих проектов, таких как Jlaive, а также желанием монетизировать проект и защитить его от несанкционированного копирования», — предположили специалисты Trend Micro.
Кроме того, ScrubCrypt спроектирован так, чтобы быть совместимым с различными известными семействами вредоносных программ, такими как Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT и Warzone RAT.
«Эволюция BatCloak подчёркивает гибкость и адаптивность этого движка и выделяет развитие Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
