BatCloak Malware-aanvallen maken gebruik van valse facturen

Beveiligingsanalisten hebben een complexe reeks aanvallen ontdekt waarbij gebruik wordt gemaakt van phishing-tactieken, vermomd als factuurgerelateerde e-mails, om verschillende soorten malware te verspreiden, waaronder Venom RAT, Remcos RAT, XWorm, NanoCore RAT en een crypto-wallet-targeting stealer.

Volgens een technisch rapport van Fortinet FortiGuard Labs bevatten de e-mails Scalable Vector Graphics (SVG)-bestandsbijlagen, die, wanneer erop wordt geklikt, het infectieproces initiëren.

BatCloak maakt gebruik van versluierde batchscripts

De aanvallers gebruiken de BatCloak-malwareverduisteringstool en ScrubCrypt om de malware te verbergen in versluierde batchscripts. BatCloak, afgeleid van een tool genaamd Jlaive en sinds eind 2022 te koop, is ontworpen om payloads in de volgende fase te laden op een manier die traditionele detectiemethoden omzeilt.

ScrubCrypt, aanvankelijk geïdentificeerd door Fortinet in maart 2023 tijdens een cryptojacking-campagne gekoppeld aan de 8220 Gang, wordt verondersteld een variant van BatCloak te zijn, zo blijkt uit onderzoek uitgevoerd door Trend Micro.

BatCloak wordt gebruikt om RAT-malware te leveren

In de recente campagne die door cybersecurity-experts is onderzocht, fungeert het SVG-bestand als kanaal om een ZIP-archief af te leveren met daarin een batchscript dat waarschijnlijk met BatCloak is gemaakt. Dit script pakt vervolgens het ScrubCrypt-batchbestand uit, waarbij uiteindelijk Venom RAT wordt ingezet, terwijl persistentie op de host wordt gerealiseerd en beveiligingsmechanismen zoals AMSI en ETW worden omzeild.

Venom RAT, een afgeleide van Quasar RAT, stelt aanvallers in staat de controle over gecompromitteerde systemen over te nemen, gevoelige gegevens te verzamelen en opdrachten uit te voeren vanaf een command-and-control (C2)-server.

Cara Lin, een beveiligingsonderzoeker, merkte op dat Venom RAT communicatiekanalen onderhoudt met de C2-server om extra plug-ins te verkrijgen voor verschillende doeleinden, waaronder keylogging-mogelijkheden (bijv. Venom RAT v6.0.3), NanoCore RAT, XWorm en Remcos RAT.

Lin voegde eraan toe dat de Remcos RAT-plug-in werd gedistribueerd vanaf de C2-server van VenomRAT met behulp van drie methoden: een versluierd VBS-script genaamd 'remcos.vbs', ScrubCrypt en GuLoader PowerShell.

Bovendien bevat de malwarecampagne een stealer-component die systeeminformatie verzamelt en gegevens extraheert uit mappen die zijn gekoppeld aan verschillende portemonnees en applicaties, zoals Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (met pensioen sinds maart 2023), Zcash, Foxmail, en Telegram, waarbij de informatie naar een externe server wordt verzonden.