BatCloak Malware-angrep bruker falske fakturaer

Sikkerhetsanalytikere har avdekket en kompleks serie med angrep som bruker phishing-taktikker forkledd som fakturarelaterte e-poster for å distribuere ulike typer skadelig programvare, inkludert Venom RAT, Remcos RAT, XWorm, NanoCore RAT og en tyver for kryptolommebokmålretting.

I følge en teknisk rapport fra Fortinet FortiGuard Labs inneholder e-postene Scalable Vector Graphics (SVG) filvedlegg, som, når de klikkes, starter infeksjonsprosessen.

BatCloak bruker obfuscated batch-skript

Angriperne bruker BatCloak malware obfuscation tool og ScrubCrypt for å skjule skadelig programvare i obfuscated batch scripts. BatCloak, avledet fra et verktøy kalt Jlaive og tilgjengelig for kjøp siden slutten av 2022, er designet for å laste nyttelaster i etterfølgende trinn på en måte som unngår tradisjonelle deteksjonsmetoder.

ScrubCrypt, opprinnelig identifisert av Fortinet i mars 2023 under en kryptojacking-kampanje knyttet til 8220-gjengen, antas å være en variant av BatCloak, ifølge forskning utført av Trend Micro.

BatCloak brukes til å levere RAT-malware

I den nylige kampanjen som ble undersøkt av cybersikkerhetseksperter, fungerer SVG-filen som en kanal for å levere et ZIP-arkiv som inneholder et batch-skript som sannsynligvis er opprettet med BatCloak. Dette skriptet pakker deretter ut ScrubCrypt-batchfilen, og distribuerer til slutt Venom RAT mens det etablerer utholdenhet på verten og omgår beskyttelsesmekanismer som AMSI og ETW.

Venom RAT, et derivat av Quasar RAT, gjør det mulig for angripere å ta kontroll over kompromitterte systemer, samle sensitive data og utføre kommandoer fra en kommando-og-kontroll-server (C2).

Cara Lin, en sikkerhetsforsker, bemerket at Venom RAT opprettholder kommunikasjonskanaler med C2-serveren for å skaffe flere plugins for ulike formål, inkludert nøkkelloggingsfunksjoner (f.eks. Venom RAT v6.0.3), NanoCore RAT, XWorm og Remcos RAT.

Lin la til at Remcos RAT-plugin ble distribuert fra VenomRATs C2-server ved å bruke tre metoder: et skjult VBS-skript kalt 'remcos.vbs', ScrubCrypt og GuLoader PowerShell.

I tillegg inkluderer skadevarekampanjen en tyverikomponent som samler inn systeminformasjon og trekker ut data fra mapper knyttet til ulike lommebøker og applikasjoner, slik som Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (pensjonert fra mars 2023), Zcash, Foxmail, og Telegram, og sender informasjonen til en ekstern server.

Innen Zaib
April 9, 2024
Computer Security
Norsk
April 9, 2024
Computer Security

Populære innlegg

Softcnapp potensielt uønsket applikasjon

2 months siden

Feil: Ox800VDS Pop-up Scam

15 days siden

Venanco.com-svindel

19 days siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

8 months siden

«American Express – Oppdater kontoinformasjonen din»...

7 months siden

Hva er Cdmx Ransomware?

3 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.