El nuevo motor de ofuscación de BatCloak tiene un rendimiento superior 80% de antivirus

Batcloak obfuscation engine

Los investigadores de Trend Micro informaron recientemente que desde septiembre 2022, Los atacantes han estado utilizando activamente un motor de ofuscación de malware llamado BatCloak., que permite a los ciberdelincuentes ocultar eficazmente códigos maliciosos de las soluciones antivirus.

Según los expertos, con capa de murciélago Los atacantes pueden descargar fácilmente diferentes familias de malware y exploits a través de archivos por lotes muy ofuscados.. Del 784 malware detectado por investigadores, casi 80% no fueron detectados por ninguno de VirusTotal motores antivirus.

Déjame recordarte que también escribimos eso. ChatGPT Se ha convertido en una nueva herramienta para los ciberdelincuentes en ingeniería social, y también eso Un hacker ruso vende una herramienta Terminator que supuestamente puede eludir cualquier programa antivirus.

BatCloak es la base de una herramienta de creación de archivos por lotes llamada Jlive que puede omitir la interfaz de escaneo antimalware (AARMI) y comprimir y cifrar la carga útil principal para aumentar los niveles de evasión.

La herramienta Jlaive fue publicada en GitHub y GitLab en septiembre 2022 por un desarrollador bajo el seudónimo ch2sh como «Cifrado EXE a BAT«. Desde entonces ha sido copiado., modificado y portado a otros lenguajes de programación.

La carga útil final es una «cargador de tres capas» – un cargador de C#, un cargador de PowerShell, y un cargador por lotes. Este último sirve como punto de partida para decodificar y descomprimir cada etapa., y finalmente lanzar el virus oculto.

Motor de ofuscación Batcloak
Cadena de ataque BatCloak

BatCloak ha recibido muchas actualizaciones y adaptaciones desde que apareció por primera vez en la naturaleza. (ITW). Su última versión se llama Cripta friega y fue aislado por Fortinet expertos durante una investigación sobre una operación de criptojacking por parte del 8220 pandilla.

La decisión de pasar de un marco abierto a uno cerrado, hecho por el desarrollador de ScrubCrypt, puede explicarse por los logros de proyectos anteriores, como Jlaive, así como el deseo de monetizar el proyecto y protegerlo de copias no autorizadas..Tendencia Micro los expertos sugirieron.

Además, ScrubCrypt está diseñado para ser compatible con varias familias de malware conocidas, como Listo, asíncrono, RATA de cristal oscuro, Minero puro, RATA cuásar, Ladrón de línea roja, Remcos RATA, Cargador de humo, VenenoRAT, y RATA de zona de guerra.

La evolución de BatCloak destaca la flexibilidad y adaptabilidad de este motor y destaca el desarrollo de ofuscadores FUD de archivos por lotes.los investigadores concluyeron.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *