Los ataques de malware BatCloak utilizan facturas falsas

Los analistas de seguridad han descubierto una serie compleja de ataques que emplean tácticas de phishing disfrazadas de correos electrónicos relacionados con facturas para distribuir varios tipos de malware, incluidos Venom RAT, Remcos RAT, XWorm, NanoCore RAT y un ladrón de billeteras criptográficas.

Según un informe técnico de Fortinet FortiGuard Labs, los correos electrónicos contienen archivos adjuntos de gráficos vectoriales escalables (SVG) que, al hacer clic, inician el proceso de infección.

BatCloak utiliza scripts por lotes ofuscados

Los atacantes utilizan la herramienta de ofuscación de malware BatCloak y ScrubCrypt para ocultar el malware dentro de scripts por lotes ofuscados. BatCloak, derivado de una herramienta llamada Jlaive y disponible para su compra desde finales de 2022, está diseñado para cargar cargas útiles de etapas posteriores de una manera que evade los métodos de detección tradicionales.

Se cree que ScrubCrypt, identificado inicialmente por Fortinet en marzo de 2023 durante una campaña de criptojacking vinculada a 8220 Gang, es una variante de BatCloak, según una investigación realizada por Trend Micro.

BatCloak utilizado para distribuir malware RAT

En la reciente campaña examinada por expertos en ciberseguridad, el archivo SVG actúa como un conducto para entregar un archivo ZIP que contiene un script por lotes probablemente creado con BatCloak. Luego, este script descomprime el archivo por lotes ScrubCrypt y, en última instancia, implementa Venom RAT mientras establece persistencia en el host y evita mecanismos de protección como AMSI y ETW.

Venom RAT, un derivado de Quasar RAT, permite a los atacantes tomar el control de sistemas comprometidos, recopilar datos confidenciales y ejecutar comandos desde un servidor de comando y control (C2).

Cara Lin, investigadora de seguridad, señaló que Venom RAT mantiene canales de comunicación con el servidor C2 para adquirir complementos adicionales para diversos fines, incluidas capacidades de registro de teclas (por ejemplo, Venom RAT v6.0.3), NanoCore RAT, XWorm y Remcos RAT.

Lin agregó que el complemento Remcos RAT se distribuyó desde el servidor C2 de VenomRAT utilizando tres métodos: un script VBS ofuscado llamado 'remcos.vbs', ScrubCrypt y GuLoader PowerShell.

Además, la campaña de malware incluye un componente ladrón que recopila información del sistema y extrae datos de carpetas asociadas con varias billeteras y aplicaciones, como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (retirado en marzo de 2023), Zcash, Foxmail, y Telegram, enviando la información a un servidor remoto.

En Zaib
April 9, 2024
Computer Security
Spanish
April 9, 2024
Computer Security

Entradas populares

Aplicación Softcnapp potencialmente no deseada

Hace 2 months

Error: Estafa emergente Ox800VDS

Hace 15 days

Estafa de Venanco.com

Hace 19 days

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 8 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 7 months

¿Qué es Cdmx Ransomware?

Hace 3 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.