Хакеры предпочитают BatCloak: новый движок для обфускации обходит 80% антивирусов

BatCloak Trend Micro VirusTotal AMSI Jlaive GitHub GitLab PowerShell C# ITW ScrubCrypt FUD-обфускатор обфускация
Хакеры предпочитают BatCloak: новый движок для обфускации обходит 80% антивирусов
BatCloak Trend Micro VirusTotal AMSI Jlaive GitHub GitLab PowerShell C# ITW ScrubCrypt FUD-обфускатор обфускация

Трёхэтапная распаковка позволяет максимально скрытно поместить вредонос в целевую систему.

image

Исследователи компании Trend Micro сообщили в недавнем отчёте , что с сентября 2022 года злоумышленники активно используют движок для обфускации вредоносных программ под названием BatCloak, который позволяет киберпреступникам эффективно скрывать вредоносный код от антивирусных решений.

По данным специалистов, с помощью BatCloak злоумышленники могут легко загружать разные семейства вредоносных программ и эксплойты через сильно обфусцированные пакетные файлы. Из 784 обнаруженных исследователями вредоносных программ почти 80% не были зафиксированы ни одним из антивирусных движков VirusTotal.

BatCloak является основой для инструмента построения пакетных файлов под названием Jlaive, который умеет обходить Antimalware Scan Interface (AMSI), а также сжимать и шифровать основную полезную нагрузку для повышения уровня уклонения.

Инструмент Jlaive был опубликован на GitHub и GitLab в сентябре 2022 года разработчиком под псевдонимом ch2sh как «EXE to BAT crypter». С тех пор он был скопирован, модифицирован и перенесён на другие языки программирования.

Конечная полезная нагрузка представляет из себя «трёхслойный загрузчик» — C#-загрузчик, PowerShell-загрузчик и пакетный загрузчик. Последний служит отправной точкой для декодирования и распаковки каждого этапа, а в конечном итоге — запуска скрытого вируса.

Цепочка атаки с применением BatCloak

BatCloak получил много обновлений и адаптаций с тех пор, как впервые появился в дикой природе (ITW). Его последняя версия называется ScrubCrypt и была выделена специалистами Fortinet во время расследования операции по криптоджекингу , проводимой бандой 8220.

«Решение перейти от открытого фреймворка к закрытому, принятое разработчиком ScrubCrypt, можно объяснить достижениями предыдущих проектов, таких как Jlaive, а также желанием монетизировать проект и защитить его от несанкционированного копирования», — предположили специалисты Trend Micro.

Кроме того, ScrubCrypt спроектирован так, чтобы быть совместимым с различными известными семействами вредоносных программ, такими как Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT и Warzone RAT.

«Эволюция BatCloak подчёркивает гибкость и адаптивность этого движка и выделяет развитие FUD-обфускаторов пакетных файлов», — заключили исследователи.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь