Gli attacchi malware BatCloak utilizzano fatture false

Gli analisti della sicurezza hanno scoperto una serie complessa di attacchi che utilizzano tattiche di phishing mascherate da e-mail relative alle fatture per distribuire vari tipi di malware, tra cui Venom RAT, Remcos RAT, XWorm, NanoCore RAT e un ladro di criptovalute mirato ai portafogli.

Secondo un rapporto tecnico di Fortinet FortiGuard Labs, le e-mail contengono allegati file Scalable Vector Graphics (SVG) che, se cliccati, avviano il processo di infezione.

BatCloak utilizza script batch offuscati

Gli aggressori utilizzano lo strumento di offuscamento del malware BatCloak e ScrubCrypt per nascondere il malware all'interno di script batch offuscati. BatCloak, derivato da uno strumento chiamato Jlaive e disponibile per l'acquisto dalla fine del 2022, è progettato per caricare i carichi utili della fase successiva in un modo che elude i tradizionali metodi di rilevamento.

Si ritiene che ScrubCrypt, inizialmente identificato da Fortinet nel marzo 2023 durante una campagna di cryptojacking collegata alla Gang 8220, sia una variante di BatCloak, secondo una ricerca condotta da Trend Micro.

BatCloak utilizzato per diffondere malware RAT

Nella recente campagna esaminata dagli esperti di sicurezza informatica, il file SVG funge da canale per fornire un archivio ZIP contenente uno script batch probabilmente creato con BatCloak. Questo script decomprime quindi il file batch ScrubCrypt, distribuendo infine Venom RAT stabilendo al tempo stesso la persistenza sull'host e aggirando i meccanismi di protezione come AMSI ed ETW.

Venom RAT, un derivato di Quasar RAT, consente agli aggressori di prendere il controllo di sistemi compromessi, raccogliere dati sensibili ed eseguire comandi da un server di comando e controllo (C2).

Cara Lin, una ricercatrice di sicurezza, ha notato che Venom RAT mantiene canali di comunicazione con il server C2 per acquisire plug-in aggiuntivi per vari scopi, comprese funzionalità di keylogging (ad esempio, Venom RAT v6.0.3), NanoCore RAT, XWorm e Remcos RAT.

Lin ha aggiunto che il plugin Remcos RAT è stato distribuito dal server C2 di VenomRAT utilizzando tre metodi: uno script VBS offuscato denominato "remcos.vbs", ScrubCrypt e GuLoader PowerShell.

Inoltre, la campagna malware include un componente stealer che raccoglie informazioni di sistema ed estrae dati da cartelle associate a vari portafogli e applicazioni, come Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (ritirato da marzo 2023), Zcash, Foxmail, e Telegram, inviando le informazioni a un server remoto.