BatCloak Malware-attacker använder falska fakturor

Säkerhetsanalytiker har avslöjat en komplex serie attacker som använder nätfisketaktik förklädd som fakturarelaterade e-postmeddelanden för att distribuera olika typer av skadlig programvara, inklusive Venom RAT, Remcos RAT, XWorm, NanoCore RAT och en kryptoplånboksinriktad stjälare.

Enligt en teknisk rapport från Fortinet FortiGuard Labs innehåller e-postmeddelandena Scalable Vector Graphics (SVG) filbilagor, som, när de klickas, initierar infektionsprocessen.

BatCloak använder obfuscerade batchskript

Angriparna använder BatCloak malware obfuscation-verktyget och ScrubCrypt för att dölja skadlig programvara i obfuskerade batch-skript. BatCloak, härlett från ett verktyg som heter Jlaive och tillgängligt för köp sedan slutet av 2022, är designat för att ladda nyttolaster i efterföljande steg på ett sätt som undviker traditionella detekteringsmetoder.

ScrubCrypt, som ursprungligen identifierades av Fortinet i mars 2023 under en kryptojackningskampanj kopplad till 8220 Gang, tros vara en variant av BatCloak, enligt forskning utförd av Trend Micro.

BatCloak används för att leverera RAT-malware

I den senaste kampanjen som granskades av cybersäkerhetsexperter fungerar SVG-filen som en kanal för att leverera ett ZIP-arkiv som innehåller ett batchskript som troligen skapats med BatCloak. Det här skriptet packar sedan upp ScrubCrypt-batchfilen och distribuerar så småningom Venom RAT samtidigt som det etablerar beständighet på värden och kringgår skyddsmekanismer som AMSI och ETW.

Venom RAT, en derivata av Quasar RAT, gör det möjligt för angripare att ta kontroll över komprometterade system, samla in känslig data och utföra kommandon från en kommando-och-kontroll-server (C2).

Cara Lin, en säkerhetsforskare, noterade att Venom RAT upprätthåller kommunikationskanaler med C2-servern för att skaffa ytterligare plugins för olika ändamål, inklusive nyckelloggningsfunktioner (t.ex. Venom RAT v6.0.3), NanoCore RAT, XWorm och Remcos RAT.

Lin tillade att Remcos RAT-plugin distribuerades från VenomRATs C2-server med tre metoder: ett fördunklat VBS-skript som heter 'remcos.vbs', ScrubCrypt och GuLoader PowerShell.

Dessutom innehåller skadlig programvara en stjälkomponent som samlar in systeminformation och extraherar data från mappar som är associerade med olika plånböcker och applikationer, såsom Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (pensionerad från mars 2023), Zcash, Foxmail, och Telegram, skicka informationen till en fjärrserver.

År Zaib
April 9, 2024
Computer Security
Svenska
April 9, 2024
Computer Security

Populära inlägg

Softcnapp potentiellt oönskad applikation

2 months sedan

Fel: Ox800VDS popup-bedrägeri

15 days sedan

Venanco.com bluff

19 days sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

8 months sedan

"American Express - Uppdatera din kontoinformation"...

7 months sedan

Vad är Cdmx Ransomware?

3 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.