„BatCloak“ kenkėjiškų programų atakos naudoja netikras sąskaitas faktūras

Saugumo analitikai atskleidė sudėtingą atakų seriją, naudojant sukčiavimo taktiką, užmaskuotą kaip su sąskaitomis faktūromis susiję el. laiškai, siekiant platinti įvairių tipų kenkėjiškas programas, įskaitant Venom RAT, Remcos RAT, XWorm, NanoCore RAT ir kriptovaliutų piniginę taikantį vagį.

Remiantis Fortinet FortiGuard Labs technine ataskaita, laiškuose yra Scalable Vector Graphics (SVG) failų priedų, kuriuos spustelėjus pradedamas užkrėtimo procesas.

„BatCloak“ naudoja užmaskuotus paketinius scenarijus

Užpuolikai naudoja „BatCloak“ kenkėjiškų programų užmaskavimo įrankį ir „ScrubCrypt“, kad paslėptų kenkėjišką programą užmaskuotuose paketiniuose scenarijuose. „BatCloak“, sukurta naudojant įrankį „Jlaive“ ir kurį galima įsigyti nuo 2022 m. pabaigos, yra sukurta taip, kad būtų galima įkelti vėlesnio etapo naudinguosius krovinius taip, kad būtų išvengta tradicinių aptikimo metodų.

Remiantis „Trend Micro“ atliktais tyrimais, manoma, kad „ScrubCrypt“, kurį „Fortinet“ iš pradžių nustatė 2023 m. kovo mėn. per kriptovaliutų plėšimo kampaniją, susijusią su 8220 gauja, yra „BatCloak“ variantas.

„BatCloak“ buvo naudojamas RAT kenkėjiškų programų pristatymui

Neseniai kibernetinio saugumo ekspertų išnagrinėtoje kampanijoje SVG failas veikia kaip kanalas, skirtas ZIP archyvui, kuriame yra paketinis scenarijus, greičiausiai sukurtas naudojant „BatCloak“. Tada šis scenarijus išpakuoja „ScrubCrypt“ paketinį failą, galiausiai įdiegdamas „Venom RAT“, užtikrindamas pagrindinio kompiuterio patvarumą ir apeidamas apsaugos mechanizmus, tokius kaip AMSI ir ETW.

Venom RAT, Quasar RAT darinys, leidžia užpuolikams perimti pažeistų sistemų valdymą, rinkti slaptus duomenis ir vykdyti komandas iš komandų ir valdymo (C2) serverio.

Cara Lin, saugumo tyrinėtojas, pažymėjo, kad „Venom RAT“ palaiko ryšio kanalus su C2 serveriu, kad įsigytų papildomų įskiepių įvairiems tikslams, įskaitant klaviatūros registravimo galimybes (pvz., „Venom RAT v6.0.3“, „NanoCore RAT“, „XWorm“ ir „Remcos RAT“.

Linas pridūrė, kad Remcos RAT įskiepis buvo platinamas iš VenomRAT C2 serverio naudojant tris metodus: užmaskuotą VBS scenarijų, pavadintą „remcos.vbs“, „ScrubCrypt“ ir „GuLoader PowerShell“.

Be to, kenkėjiškų programų kampanija apima vagių komponentą, kuris renka sistemos informaciją ir ištraukia duomenis iš aplankų, susijusių su įvairiomis piniginėmis ir programomis, pvz., „Atomic Wallet“, „Electrum“, „Ethereum“, „Exodus“, „Jaxx Liberty“ (pasitraukė nuo 2023 m. kovo mėn.), „Zcash“, „Foxmail“, ir Telegram, siunčiant informaciją į nuotolinį serverį.