Los investigadores de Trend Micro informaron recientemente que desde septiembre 2022, Los atacantes han estado utilizando activamente un motor de ofuscación de malware llamado BatCloak., que permite a los ciberdelincuentes ocultar eficazmente códigos maliciosos de las soluciones antivirus.
Según los expertos, con capa de murciélago Los atacantes pueden descargar fácilmente diferentes familias de malware y exploits a través de archivos por lotes muy ofuscados.. Del 784 malware detectado por investigadores, casi 80% no fueron detectados por ninguno de VirusTotal motores antivirus.
Déjame recordarte que también escribimos eso. ChatGPT Se ha convertido en una nueva herramienta para los ciberdelincuentes en ingeniería social, y también eso Un hacker ruso vende una herramienta Terminator que supuestamente puede eludir cualquier programa antivirus.
BatCloak es la base de una herramienta de creación de archivos por lotes llamada Jlive que puede omitir la interfaz de escaneo antimalware (AARMI) y comprimir y cifrar la carga útil principal para aumentar los niveles de evasión.
La herramienta Jlaive fue publicada en GitHub y GitLab en septiembre 2022 por un desarrollador bajo el seudónimo ch2sh como «Cifrado EXE a BAT«. Desde entonces ha sido copiado., modificado y portado a otros lenguajes de programación.
La carga útil final es una «cargador de tres capas» – un cargador de C#, un cargador de PowerShell, y un cargador por lotes. Este último sirve como punto de partida para decodificar y descomprimir cada etapa., y finalmente lanzar el virus oculto.
Cadena de ataque BatCloak
BatCloak ha recibido muchas actualizaciones y adaptaciones desde que apareció por primera vez en la naturaleza. (ITW). Su última versión se llama Cripta friega y fue aislado por Fortinet expertos durante una investigación sobre una operación de criptojacking por parte del 8220 pandilla.
Además, ScrubCrypt está diseñado para ser compatible con varias familias de malware conocidas, como Listo, asíncrono, RATA de cristal oscuro, Minero puro, RATA cuásar, Ladrón de línea roja, Remcos RATA, Cargador de humo, VenenoRAT, y RATA de zona de guerra.