Ataques de malware BatCloak usam faturas falsas
Analistas de segurança descobriram uma série complexa de ataques que empregam táticas de phishing disfarçadas de e-mails relacionados a faturas para distribuir vários tipos de malware, incluindo Venom RAT, Remcos RAT, XWorm, NanoCore RAT e um ladrão de carteiras criptográficas.
De acordo com um relatório técnico da Fortinet FortiGuard Labs, os e-mails contêm anexos de arquivos Scalable Vector Graphics (SVG), que, quando clicados, iniciam o processo de infecção.
BatCloak usa scripts em lote ofuscados
Os invasores utilizam a ferramenta de ofuscação de malware BatCloak e ScrubCrypt para ocultar o malware em scripts em lote ofuscados. BatCloak, derivado de uma ferramenta chamada Jlaive e disponível para compra desde o final de 2022, foi projetado para carregar cargas úteis de estágio subsequente de uma maneira que evita os métodos tradicionais de detecção.
Acredita-se que ScrubCrypt, inicialmente identificado pela Fortinet em março de 2023 durante uma campanha de cryptojacking ligada à Gangue 8220, seja uma variante do BatCloak, de acordo com pesquisa conduzida pela Trend Micro.
BatCloak usado para entregar malware RAT
Na recente campanha examinada por especialistas em segurança cibernética, o arquivo SVG atua como um canal para entregar um arquivo ZIP contendo um script em lote provavelmente criado com BatCloak. Este script então descompacta o arquivo em lote ScrubCrypt, implantando o Venom RAT enquanto estabelece persistência no host e ignora mecanismos de proteção como AMSI e ETW.
Venom RAT, um derivado do Quasar RAT, permite que invasores assumam o controle de sistemas comprometidos, coletem dados confidenciais e executem comandos de um servidor de comando e controle (C2).
Cara Lin, pesquisadora de segurança, observou que Venom RAT mantém canais de comunicação com o servidor C2 para adquirir plug-ins adicionais para diversos fins, incluindo recursos de keylogging (por exemplo, Venom RAT v6.0.3), NanoCore RAT, XWorm e Remcos RAT.
Lin acrescentou que o plugin Remcos RAT foi distribuído do servidor C2 do VenomRAT usando três métodos: um script VBS ofuscado chamado ‘remcos.vbs’, ScrubCrypt e GuLoader PowerShell.
Além disso, a campanha de malware inclui um componente ladrão que coleta informações do sistema e extrai dados de pastas associadas a várias carteiras e aplicativos, como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (aposentado em março de 2023), Zcash, Foxmail, e Telegram, enviando as informações para um servidor remoto.