Οι επιθέσεις κακόβουλου λογισμικού BatCloak χρησιμοποιούν πλαστά τιμολόγια

Οι αναλυτές ασφαλείας έχουν αποκαλύψει μια περίπλοκη σειρά επιθέσεων που χρησιμοποιούν τακτικές phishing που μεταμφιέζονται ως μηνύματα ηλεκτρονικού ταχυδρομείου που σχετίζονται με τιμολόγια για τη διανομή διαφόρων τύπων κακόβουλου λογισμικού, συμπεριλαμβανομένων των Venom RAT, Remcos RAT, XWorm, NanoCore RAT και ενός κλέφτη που στοχεύει κρυπτογραφικά πορτοφόλια.

Σύμφωνα με μια τεχνική έκθεση της Fortinet FortiGuard Labs, τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνημμένα αρχείων Scalable Vector Graphics (SVG), τα οποία, όταν πατηθούν, ξεκινούν τη διαδικασία μόλυνσης.

Το BatCloak χρησιμοποιεί ασαφή σενάρια παρτίδας

Οι επιτιθέμενοι χρησιμοποιούν το εργαλείο συσκότισης κακόβουλου λογισμικού BatCloak και το ScrubCrypt για να κρύψουν το κακόβουλο λογισμικό μέσα σε συσκοτισμένα σενάρια παρτίδας. Το BatCloak, που προέρχεται από ένα εργαλείο που ονομάζεται Jlaive και είναι διαθέσιμο για αγορά από τα τέλη του 2022, έχει σχεδιαστεί για να φορτώνει ωφέλιμα φορτία επόμενων σταδίων με τρόπο που αποφεύγει τις παραδοσιακές μεθόδους ανίχνευσης.

Το ScrubCrypt, που αρχικά αναγνωρίστηκε από την Fortinet τον Μάρτιο του 2023 κατά τη διάρκεια μιας εκστρατείας cryptojacking που συνδέεται με τη συμμορία 8220, πιστεύεται ότι είναι μια παραλλαγή του BatCloak, σύμφωνα με έρευνα που διεξήχθη από την Trend Micro.

BatCloak που χρησιμοποιείται για την παράδοση κακόβουλου λογισμικού RAT

Στην πρόσφατη καμπάνια που εξετάστηκε από ειδικούς στον τομέα της κυβερνοασφάλειας, το αρχείο SVG λειτουργεί ως αγωγός για την παράδοση ενός αρχείου ZIP που περιέχει ένα σενάριο δέσμης που πιθανότατα δημιουργήθηκε με το BatCloak. Στη συνέχεια, αυτό το σενάριο αποσυσκευάζει το αρχείο δέσμης ScrubCrypt, αναπτύσσοντας τελικά το Venom RAT ενώ ταυτόχρονα δημιουργείται επιμονή στον κεντρικό υπολογιστή και παρακάμπτει μηχανισμούς προστασίας όπως το AMSI και το ETW.

Το Venom RAT, ένα παράγωγο του Quasar RAT, επιτρέπει στους εισβολείς να αναλαμβάνουν τον έλεγχο των παραβιασμένων συστημάτων, να συλλέγουν ευαίσθητα δεδομένα και να εκτελούν εντολές από έναν διακομιστή εντολών και ελέγχου (C2).

Η Cara Lin, ερευνήτρια ασφαλείας, σημείωσε ότι το Venom RAT διατηρεί κανάλια επικοινωνίας με τον διακομιστή C2 για την απόκτηση πρόσθετων προσθηκών για διάφορους σκοπούς, συμπεριλαμβανομένων των δυνατοτήτων καταγραφής κλειδιών (π.χ. Venom RAT v6.0.3), NanoCore RAT, XWorm και Remcos RAT.

Ο Lin πρόσθεσε ότι το πρόσθετο Remcos RAT διανεμήθηκε από τον διακομιστή C2 του VenomRAT χρησιμοποιώντας τρεις μεθόδους: ένα ασαφές σενάριο VBS με το όνομα «remcos.vbs», ScrubCrypt και GuLoader PowerShell.

Επιπλέον, η καμπάνια κακόβουλου λογισμικού περιλαμβάνει ένα στοιχείο κλοπής που συλλέγει πληροφορίες συστήματος και εξάγει δεδομένα από φακέλους που σχετίζονται με διάφορα πορτοφόλια και εφαρμογές, όπως Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (αποσύρθηκε από τον Μάρτιο του 2023), Zcash, Foxmail, και Telegram, στέλνοντας τις πληροφορίες σε έναν απομακρυσμένο διακομιστή.