A BatCloak rosszindulatú támadások hamis számlákat használnak

Biztonsági elemzők egy összetett támadássorozatot tártak fel, amelyek számlákkal kapcsolatos e-maileknek álcázott adathalász taktikákat alkalmaznak különböző típusú rosszindulatú programok terjesztésére, beleértve a Venom RAT-ot, a Remcos RAT-ot, az XWorm-et, a NanoCore RAT-ot és a kriptopénztárcát célzó lopót.

A Fortinet FortiGuard Labs technikai jelentése szerint az e-mailek Scalable Vector Graphics (SVG) fájlmellékleteket tartalmaznak, amelyekre kattintva elindítják a fertőzési folyamatot.

A BatCloak obfuszkált kötegelt szkripteket használ

A támadók a BatCloak rosszindulatú programzavart okozó eszközt és a ScrubCryptet használják a rosszindulatú program elrejtésére a zavart kötegelt szkriptekben. A BatCloak, amely a Jlaive nevű eszközből származik, és 2022 vége óta megvásárolható, úgy lett kialakítva, hogy olyan módon töltse be a következő fázisú hasznos adatokat, hogy elkerülje a hagyományos észlelési módszereket.

A Trend Micro kutatása szerint a ScrubCrypt, amelyet eredetileg a Fortinet azonosított 2023 márciusában a 8220 Ganghoz kapcsolódó titkosítási kampány során, a BatCloak egyik változata.

A BatCloak RAT rosszindulatú szoftverek továbbítására szolgál

A kiberbiztonsági szakértők által nemrégiben vizsgált kampányban az SVG-fájl csatornaként működik egy ZIP-archívum kézbesítéséhez, amely egy valószínűleg BatCloakkal létrehozott kötegelt szkriptet tartalmaz. Ez a szkript ezután kicsomagolja a ScrubCrypt kötegfájlt, végül a Venom RAT-ot telepíti, miközben állandóságot biztosít a gazdagépen, és megkerüli az olyan védelmi mechanizmusokat, mint az AMSI és az ETW.

A Venom RAT, a Quasar RAT származéka lehetővé teszi a támadók számára, hogy átvegyék az irányítást a feltört rendszerek felett, érzékeny adatokat gyűjtsenek össze, és parancsokat hajtsanak végre egy parancs- és vezérlőkiszolgálóról (C2).

Cara Lin, egy biztonsági kutató megjegyezte, hogy a Venom RAT kommunikációs csatornákat tart fenn a C2 szerverrel, hogy további bővítményeket szerezzen be különféle célokra, beleértve a kulcsnaplózási képességeket (pl. Venom RAT v6.0.3), a NanoCore RAT, az XWorm és a Remcos RAT.

Lin hozzátette, hogy a Remcos RAT beépülő modult a VenomRAT C2 kiszolgálójáról három módszerrel terjesztették: egy „remcos.vbs” nevű obfuszkált VBS-szkriptet, a ScrubCrypt-t és a GuLoader PowerShell-t.

Ezenkívül a rosszindulatú programkampány tartalmaz egy lopó komponenst is, amely rendszerinformációkat gyűjt, és adatokat gyűjt ki a különféle pénztárcákhoz és alkalmazásokhoz kapcsolódó mappákból, például Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (2023 márciusától megszűnt), Zcash, Foxmail, és a Telegram, az információt egy távoli szerverre küldi.