В атаках вредоносного ПО BatCloak используются поддельные счета-фактуры
Аналитики безопасности обнаружили сложную серию атак с использованием тактики фишинга, замаскированной под электронные письма, связанные со счетами, для распространения различных типов вредоносного ПО, включая Venom RAT, Remcos RAT, XWorm, NanoCore RAT и похититель криптовалютных кошельков.
Согласно техническому отчету Fortinet FortiGuard Labs, электронные письма содержат вложения файлов масштабируемой векторной графики (SVG), при нажатии на которые инициируется процесс заражения.
BatCloak использует запутанные пакетные сценарии
Злоумышленники используют инструмент обфускации вредоносного ПО BatCloak и ScrubCrypt, чтобы скрыть вредоносное ПО в запутанных пакетных сценариях. BatCloak, созданный на основе инструмента под названием Jlaive и доступный для покупки с конца 2022 года, предназначен для загрузки полезных данных последующих этапов таким образом, чтобы избежать традиционных методов обнаружения.
ScrubCrypt, первоначально обнаруженный Fortinet в марте 2023 года во время кампании криптоджекинга, связанной с бандой 8220, считается вариантом BatCloak, согласно исследованию, проведенному Trend Micro.
BatCloak используется для доставки вредоносного ПО RAT
В ходе недавней кампании, изученной экспертами по кибербезопасности, файл SVG выступал в качестве канала для доставки ZIP-архива, содержащего пакетный сценарий, вероятно, созданный с помощью BatCloak. Затем этот сценарий распаковывает пакетный файл ScrubCrypt, в конечном итоге развертывая Venom RAT, устанавливая при этом постоянство на хосте и обходя механизмы защиты, такие как AMSI и ETW.
Venom RAT, производная от Quasar RAT, позволяет злоумышленникам брать под контроль скомпрометированные системы, собирать конфиденциальные данные и выполнять команды с сервера управления и контроля (C2).
Кара Лин, исследователь безопасности, отметила, что Venom RAT поддерживает каналы связи с сервером C2 для приобретения дополнительных плагинов для различных целей, включая возможности кейлогинга (например, Venom RAT v6.0.3), NanoCore RAT, XWorm и Remcos RAT.
Лин добавил, что плагин Remcos RAT распространялся с сервера C2 VenomRAT с использованием трех методов: запутанного сценария VBS с именем remcos.vbs, ScrubCrypt и GuLoader PowerShell.
Кроме того, вредоносная кампания включает в себя компонент-стилер, который собирает системную информацию и извлекает данные из папок, связанных с различными кошельками и приложениями, такими как Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (выведен из эксплуатации с марта 2023 г.), Zcash, Foxmail, и Telegram, отправляя информацию на удаленный сервер.