BatCloak-Malware-Angriffe nutzen gefälschte Rechnungen

Sicherheitsanalysten haben eine komplexe Angriffsserie aufgedeckt. Dabei kommen Phishing-Taktiken zum Einsatz, die als rechnungsbezogene E-Mails getarnt sind und zum Verteilen verschiedener Arten von Malware dienen, darunter Venom RAT, Remcos RAT, XWorm, NanoCore RAT und ein auf Krypto-Wallets abzielender Stealer.

Laut einem technischen Bericht von Fortinet FortiGuard Labs enthalten die E-Mails Dateianhänge im Format Scalable Vector Graphics (SVG), die beim Anklicken den Infektionsprozess starten.

BatCloak verwendet verschleierte Batch-Skripte

Die Angreifer nutzen das Malware-Verschleierungstool BatCloak und ScrubCrypt, um die Malware in verschleierten Batch-Skripten zu verbergen. BatCloak, das von einem Tool namens Jlaive abgeleitet ist und seit Ende 2022 zum Kauf angeboten wird, ist darauf ausgelegt, Payloads der nächsten Stufe auf eine Weise zu laden, die herkömmlichen Erkennungsmethoden entgeht.

ScrubCrypt wurde erstmals im März 2023 von Fortinet während einer mit der 8220 Gang in Verbindung stehenden Cryptojacking-Kampagne identifiziert und gilt Untersuchungen von Trend Micro zufolge als eine Variante von BatCloak.

BatCloak wird zur Verbreitung von RAT-Malware verwendet

In der jüngsten von Cybersicherheitsexperten untersuchten Kampagne fungiert die SVG-Datei als Kanal zur Bereitstellung eines ZIP-Archivs, das ein wahrscheinlich mit BatCloak erstelltes Batch-Skript enthält. Dieses Skript entpackt dann die ScrubCrypt-Batchdatei und setzt letztendlich Venom RAT ein, während es Persistenz auf dem Host herstellt und Schutzmechanismen wie AMSI und ETW umgeht.

Venom RAT, ein Derivat von Quasar RAT, ermöglicht Angreifern, die Kontrolle über kompromittierte Systeme zu übernehmen, vertrauliche Daten zu sammeln und Befehle von einem Command-and-Control-Server (C2) auszuführen.

Cara Lin, eine Sicherheitsforscherin, stellte fest, dass Venom RAT Kommunikationskanäle mit dem C2-Server unterhält, um zusätzliche Plugins für verschiedene Zwecke zu erwerben, darunter Keylogging-Funktionen (z. B. Venom RAT v6.0.3), NanoCore RAT, XWorm und Remcos RAT.

Lin fügte hinzu, dass das Remcos RAT-Plugin vom C2-Server von VenomRAT mithilfe von drei Methoden verteilt wurde: einem verschleierten VBS-Skript namens „remcos.vbs“, ScrubCrypt und GuLoader PowerShell.

Darüber hinaus enthält die Malware-Kampagne eine Stealer-Komponente, die Systeminformationen sammelt und Daten aus Ordnern extrahiert, die mit verschiedenen Wallets und Anwendungen verknüpft sind, wie etwa Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (seit März 2023 nicht mehr verfügbar), Zcash, Foxmail und Telegram, und die Informationen an einen Remote-Server sendet.