BatCloak 恶意软件攻击利用假发票

安全分析师发现了一系列复杂的攻击，这些攻击采用伪装成发票相关电子邮件的网络钓鱼策略来传播各种类型的恶意软件，包括 Venom RAT、Remcos RAT、XWorm、NanoCore RAT 和针对加密钱包的窃取程序。

根据 Fortinet FortiGuard Labs 的技术报告，这些电子邮件包含可缩放矢量图形 (SVG) 文件附件，点击后会启动感染过程。

BatCloak 使用混淆的批处理脚本

攻击者利用 BatCloak 恶意软件混淆工具和 ScrubCrypt 将恶意软件隐藏在混淆的批处理脚本中。BatCloak 源自一款名为 Jlaive 的工具，自 2022 年底开始发售，旨在以逃避传统检测方法的方式加载后续阶段的有效载荷。

根据趋势科技的研究，ScrubCrypt 最初由 Fortinet 于 2023 年 3 月在与 8220 Gang 相关的加密劫持活动中发现，被认为是 BatCloak 的一个变种。

BatCloak 被用来传播 RAT 恶意软件

在网络安全专家最近调查的活动中，SVG 文件充当了传输 ZIP 存档的管道，其中包含可能使用 BatCloak 创建的批处理脚本。然后，该脚本解压 ScrubCrypt 批处理文件，最终部署 Venom RAT，同时在主机上建立持久性并绕过 AMSI 和 ETW 等保护机制。

Venom RAT 是 Quasar RAT 的衍生产品，它使攻击者能够控制受感染的系统、收集敏感数据并从命令和控制 (C2) 服务器执行命令。

安全研究员 Cara Lin 指出，Venom RAT 与 C2 服务器保持通信渠道，以获取用于各种目的的附加插件，包括键盘记录功能（例如 Venom RAT v6.0.3）、NanoCore RAT、XWorm 和 Remcos RAT。

林补充说，Remcos RAT 插件使用三种方法从 VenomRAT 的 C2 服务器分发：名为“remcos.vbs”的混淆 VBS 脚本、ScrubCrypt 和 GuLoader PowerShell。

此外，该恶意软件活动还包括一个窃取组件，该组件可收集系统信息并从与各种钱包和应用程序相关的文件夹中提取数据，例如 Atomic Wallet、Electrum、Ethereum、Exodus、Jaxx Liberty（截至 2023 年 3 月已退役）、Zcash、Foxmail 和 Telegram，并将信息发送到远程服务器。