Los ataques de malware BatCloak utilizan facturas falsas
Los analistas de seguridad han descubierto una serie compleja de ataques que emplean tácticas de phishing disfrazadas de correos electrónicos relacionados con facturas para distribuir varios tipos de malware, incluidos Venom RAT, Remcos RAT, XWorm, NanoCore RAT y un ladrón de billeteras criptográficas.
Según un informe técnico de Fortinet FortiGuard Labs, los correos electrónicos contienen archivos adjuntos de gráficos vectoriales escalables (SVG) que, al hacer clic, inician el proceso de infección.
BatCloak utiliza scripts por lotes ofuscados
Los atacantes utilizan la herramienta de ofuscación de malware BatCloak y ScrubCrypt para ocultar el malware dentro de scripts por lotes ofuscados. BatCloak, derivado de una herramienta llamada Jlaive y disponible para su compra desde finales de 2022, está diseñado para cargar cargas útiles de etapas posteriores de una manera que evade los métodos de detección tradicionales.
Se cree que ScrubCrypt, identificado inicialmente por Fortinet en marzo de 2023 durante una campaña de criptojacking vinculada a 8220 Gang, es una variante de BatCloak, según una investigación realizada por Trend Micro.
BatCloak utilizado para distribuir malware RAT
En la reciente campaña examinada por expertos en ciberseguridad, el archivo SVG actúa como un conducto para entregar un archivo ZIP que contiene un script por lotes probablemente creado con BatCloak. Luego, este script descomprime el archivo por lotes ScrubCrypt y, en última instancia, implementa Venom RAT mientras establece persistencia en el host y evita mecanismos de protección como AMSI y ETW.
Venom RAT, un derivado de Quasar RAT, permite a los atacantes tomar el control de sistemas comprometidos, recopilar datos confidenciales y ejecutar comandos desde un servidor de comando y control (C2).
Cara Lin, investigadora de seguridad, señaló que Venom RAT mantiene canales de comunicación con el servidor C2 para adquirir complementos adicionales para diversos fines, incluidas capacidades de registro de teclas (por ejemplo, Venom RAT v6.0.3), NanoCore RAT, XWorm y Remcos RAT.
Lin agregó que el complemento Remcos RAT se distribuyó desde el servidor C2 de VenomRAT utilizando tres métodos: un script VBS ofuscado llamado 'remcos.vbs', ScrubCrypt y GuLoader PowerShell.
Además, la campaña de malware incluye un componente ladrón que recopila información del sistema y extrae datos de carpetas asociadas con varias billeteras y aplicaciones, como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (retirado en marzo de 2023), Zcash, Foxmail, y Telegram, enviando la información a un servidor remoto.