BatCloakマルウェア攻撃は偽の請求書を使用する
セキュリティアナリストは、請求書関連の電子メールを装ったフィッシング戦術を使用して、Venom RAT、Remcos RAT、XWorm、NanoCore RAT、暗号通貨ウォレットを狙ったスティーラーなど、さまざまな種類のマルウェアを配布する一連の複雑な攻撃を発見しました。
Fortinet FortiGuard Labs の技術レポートによると、電子メールには Scalable Vector Graphics (SVG) ファイルが添付されており、クリックすると感染プロセスが開始されます。
BatCloak は難読化されたバッチ スクリプトを使用する
攻撃者は、マルウェア難読化ツール BatCloak と ScrubCrypt を利用して、難読化されたバッチ スクリプト内にマルウェアを隠します。Jlaive と呼ばれるツールから派生し、2022 年後半から購入可能な BatCloak は、従来の検出方法を回避する方法で後続の段階のペイロードをロードするように設計されています。
ScrubCryptは、2023年3月に8220 Gangに関連するクリプトジャッキングキャンペーン中にFortinetによって最初に特定されましたが、トレンドマイクロが実施した調査によると、BatCloakの亜種であると考えられています。
BatCloak は RAT マルウェアの配信に利用される
サイバーセキュリティの専門家が調査した最近のキャンペーンでは、SVG ファイルは、BatCloak で作成されたと思われるバッチ スクリプトを含む ZIP アーカイブを配信するための経路として機能します。次に、このスクリプトは ScrubCrypt バッチ ファイルを解凍し、最終的に Venom RAT を展開しながらホスト上で永続性を確立し、AMSI や ETW などの保護メカニズムをバイパスします。
Quasar RAT の派生である Venom RAT を使用すると、攻撃者は侵害されたシステムを制御し、機密データを収集し、コマンド アンド コントロール (C2) サーバーからコマンドを実行できます。
セキュリティ研究者の Cara Lin 氏は、Venom RAT が C2 サーバーとの通信チャネルを維持し、キーロギング機能 (例: Venom RAT v6.0.3)、NanoCore RAT、XWorm、Remcos RAT など、さまざまな目的で追加のプラグインを取得していると指摘しました。
Lin 氏は、Remcos RAT プラグインは、難読化された VBS スクリプト「remcos.vbs」、ScrubCrypt、GuLoader PowerShell の 3 つの方法を使用して、VenomRAT の C2 サーバーから配布されたと付け加えました。
さらに、マルウェア キャンペーンには、システム情報を収集し、Atomic Wallet、Electrum、Ethereum、Exodus、Jaxx Liberty (2023 年 3 月時点で廃止)、Zcash、Foxmail、Telegram などのさまざまなウォレットやアプリケーションに関連付けられたフォルダーからデータを抽出して、その情報をリモート サーバーに送信するスティーラー コンポーネントが含まれています。