Desatando el poder del motor BatCloak: los ciberdelincuentes logran un completo sigilo del malware
Desde septiembre de 2022, los ciberdelincuentes han estado utilizando BatCloak, un motor de ofuscación de malware potente y totalmente indetectable (FUD), para implementar una variedad de cepas de malware. A pesar de los esfuerzos persistentes del software antivirus, BatCloak ha logrado evadir la detección, lo que permite a los actores de amenazas cargar sin problemas varias familias de malware y exploits a través de archivos por lotes muy ofuscados.
Según los investigadores de Trend Micro, de los 784 artefactos descubiertos, un alarmante 79,6 % sigue sin ser detectado por todas las soluciones de seguridad, lo que subraya la eficacia de BatCloak para eludir los mecanismos de detección tradicionales.
La mecánica en el motor BatCloak
Jlaive, un creador de archivos por lotes listo para usar, se basa en el potente motor BatCloak para la evasión de seguridad avanzada. Puede pasar por alto la interfaz de escaneo antimalware (AMSI), encriptar y comprimir cargas útiles y sirve como un "encriptador EXE a BAT".
Aunque la herramienta de código abierto desapareció de GitHub y GitLab poco después de su lanzamiento por parte de ch2sh en septiembre de 2022, otros actores la han clonado, modificado e incluso portado a Rust. La carga útil final se encuentra oculta dentro de tres capas de cargador: un cargador de C#, un cargador de PowerShell y un cargador por lotes. Este cargador por lotes, el punto de partida, decodifica y desempaqueta cada etapa para activar el malware oculto. Los investigadores Peter Girnus y Aliakbar Zahravi destacaron la presencia de un cargador PowerShell ofuscado y un código binario C# encriptado dentro del cargador por lotes. En última instancia, Jlaive aprovecha BatCloak como un motor de ofuscación de archivos para proteger el cargador por lotes, almacenándolo en un disco.
ScrubCrypt: La próxima evolución de BatCloak
BatCloak, un motor de ofuscación de malware altamente dinámico, ha experimentado importantes avances y adaptaciones desde su aparición inicial. Una de sus iteraciones recientes, conocida como ScrubCrypt, llamó la atención cuando Fortinet FortiGuard Labs la conectó a una campaña de cryptojacking orquestada por la notoria 8220 Gang. La decisión del desarrollador de pasar de un marco de código abierto a un modelo de código cerrado estuvo motivada por los éxitos de empresas anteriores como Jlaive y el objetivo de monetizar el proyecto y protegerlo contra la replicación no autorizada.
Los investigadores afirman que ScrubCrypt se integra a la perfección con varias familias de malware prominentes, incluidas Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT y Warzone RAT . Esta evolución de BatCloak ejemplifica su adaptabilidad y versatilidad como un poderoso ofuscador de lotes FUD, lo que subraya su prevalencia en el panorama de amenazas en constante evolución.