BatCloak 惡意軟體攻擊使用虛假發票

安全分析師發現了一系列複雜的攻擊，這些攻擊採用偽裝成發票相關電子郵件的網路釣魚策略來分發各種類型的惡意軟體，包括Venom RAT、Remcos RAT、XWorm、NanoCore RAT 和針對加密錢包的竊取程式.

根據 Fortinet FortiGuard 實驗室的技術報告，這些電子郵件包含可擴充向量圖形 (SVG) 檔案附件，按一下該附件就會啟動感染過程。

BatCloak 使用混淆的批次腳本

攻擊者利用 BatCloak 惡意軟體混淆工具和 ScrubCrypt 將惡意軟體隱藏在混淆的批次腳本中。 BatCloak 源自於一種名為 Jlaive 的工具，自 2022 年底起可供購買，旨在以逃避傳統檢測方法的方式加載後續階段的有效負載。

ScrubCrypt 最初由 Fortinet 於 2023 年 3 月在與 8220 Gang 相關的加密劫持活動中發現，根據趨勢科技進行的研究，該病毒被認為是 BatCloak 的變體。

BatCloak 用於傳播 RAT 惡意軟體

在網路安全專家最近檢查的活動中，SVG 檔案充當了傳遞 ZIP 檔案的管道，其中包含可能使用 BatCloak 建立的批次腳本。然後，該腳本解壓縮 ScrubCrypt 批次文件，最終部署 Venom RAT，同時在主機上建立持久性並繞過 AMSI 和 ETW 等保護機制。

Venom RAT 是 Quasar RAT 的衍生品，它使攻擊者能夠控制受感染的系統、收集敏感資料並從命令和控制 (C2) 伺服器執行命令。

安全研究員 Cara Lin 指出，Venom RAT 維護與 C2 伺服器的通訊通道，以取得用於各種目的的附加插件，包括鍵盤記錄功能（例如 Venom RAT v6.0.3）、NanoCore RAT、XWorm 和 Remcos RAT。

Lin 補充說，Remcos RAT 外掛程式是使用三種方法從 VenomRAT 的 C2 伺服器分發的：名為「remcos.vbs」的模糊 VBS 腳本、ScrubCrypt 和 GuLoader PowerShell。

此外，該惡意軟體活動還包括一個竊取程式元件，該元件收集系統資訊並從與各種錢包和應用程式相關的資料夾中提取數據，例如Atomic Wallet、Electrum、Ethereum、Exodus、Jaxx Liberty（於2023年3 月停用）、Zcash、Foxmail、 Telegram，將訊息傳送到遠端伺服器。