Malware BatCloak

Los analistas de ciberseguridad han descubierto un sofisticado ataque de múltiples fases que emplea señuelos de phishing con temas de facturas como vehículo para distribuir una variedad de software amenazante, incluido VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT y un ladrón de criptomonedas.

Estos correos electrónicos fraudulentos contienen archivos adjuntos en forma de archivos de gráficos vectoriales escalables (SVG). Una vez abiertos, estos archivos desencadenan una secuencia de infecciones. Cabe destacar en esta operación la utilización del motor de ofuscación de malware BatCloak y ScrubCrypt para difundir el malware a través de scripts por lotes ofuscados.

El malware BatCloak facilita la entrega de cargas útiles de la siguiente etapa

BatCloak, disponible para su compra por otros actores de amenazas desde finales de 2022, se origina a partir de una herramienta conocida como Jlaive. Su función principal es facilitar la carga de una carga útil de la etapa posterior de una manera que elude los métodos de detección convencionales.

Se cree que ScrubCrypt, identificado inicialmente por investigadores en marzo de 2023 durante una campaña de criptojacking orquestada por 8220 Gang, es una de las iteraciones de BatCloak, según los hallazgos de Trend Micro el año pasado.

En la campaña más reciente analizada por especialistas en ciberseguridad, el archivo SVG actúa como un conducto para implementar un archivo ZIP que contiene un script por lotes probablemente creado con BatCloak. Luego, este script descomprime el archivo por lotes ScrubCrypt para finalmente ejecutar Venom RAT después de establecer la persistencia en el host e implementar medidas para evitar las protecciones AMSI y ETW.

Los ciberdelincuentes implementan numerosas amenazas de malware a través de BatCloak

Una rama de Quasar RAT , Venom RAT permite a los atacantes apoderarse de sistemas comprometidos, recopilar datos confidenciales y ejecutar comandos desde un servidor de comando y control (C2). Aunque la funcionalidad principal de Venom RAT puede parecer sencilla, establece canales de comunicación con el servidor C2 para adquirir complementos adicionales para diversas actividades. Estos incluyen Venom RAT v6.0.3, que está equipado con capacidades de registrador de teclas, así como NanoCore RAT, XWorm y Remcos RAT. El complemento Remcos RAT se difunde desde el C2 de VenomRAT a través de tres métodos: un script VBS ofuscado llamado 'remcos.vbs', ScrubCrypt y GuLoader PowerShell.

También se distribuye a través del sistema de complementos un ladrón que busca información del sistema y desvía datos de carpetas vinculadas con billeteras y aplicaciones como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (descontinuado a partir de marzo de 2023), Zcash, Foxmail y Telegram para un servidor remoto.

La sofisticada operación de ataque documentada emplea múltiples capas de tácticas de ofuscación y evasión para difundir y ejecutar VenomRAT a través de ScrubCrypt. Los perpetradores utilizan diversos medios, incluidos correos electrónicos de phishing con archivos adjuntos maliciosos, archivos de script ofuscados y Guloader PowerShell, para violar y comprometer los sistemas de las víctimas. Además, la implementación de complementos a través de diversas cargas útiles subraya la versatilidad y adaptabilidad de la campaña de ataque.