Um motor ('engine') de ofuscação de malware totalmente indetectável (FUD) chamado BatCloak está sendo usado desde setembro de 2022 para implantar várias cepas de malware, enquanto evita persistentemente a detecção de antivírus.
As amostras concedem "aos atores de ameaças a capacidade de carregar numerosas famílias de malware e exploits com facilidade por meio de arquivos batch altamente ofuscados", disseram os pesquisadores da Trend Micro.
Cerca de 79,6% dos 784 artefatos encontrados não têm detecção em todas as soluções de segurança, acrescentou a empresa de cibersegurança, destacando a capacidade do BatCloak de contornar mecanismos de detecção tradicionais.
O motor BatCloak forma o cerne de uma ferramenta de construção de arquivos batch pronta para uso chamada Jlaive, que vem com capacidades para contornar a Interface de Verificação Antimalware (AMSI), bem como compactar e criptografar o payload principal para alcançar evasão de segurança aprimorada.
A ferramenta de código aberto, embora tenha sido removida desde que ficou disponível via GitHub e GitLab em setembro de 2022 pelo desenvolvedor chamado ch2sh, foi anunciada como um "cripter EXE para BAT".
Desde então, foi clonada e modificada por outros atores e portada para linguagens como Rust.
O payload final é encapsulado usando três camadas de carregador - um carregador C#, um carregador PowerShell e um carregador batch - este último atua como ponto de partida para decodificar e descompactar cada estágio e, finalmente, detonar o malware oculto.
"O carregador batch contém um carregador PowerShell ofuscado e um binário C# criptografado", disseram os pesquisadores Peter Girnus e Aliakbar Zahravi.
"No final, Jlaive usa BatCloak como um motor de ofuscação de arquivos para ofuscar o carregador batch e salvá-lo em um disco."
Diz-se que o BatCloak recebeu inúmeras atualizações e adaptações desde sua emergência, sendo sua versão mais recente o ScrubCrypt, que foi destacado pela primeira vez pelo Fortinet FortiGuard Labs em conexão com uma operação de cryptojacking montada pelo grupo 8220.
O ScrubCrypt é projetado para ser interoperável com várias famílias conhecidas de malware, como Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT e Warzone RAT.
"A evolução do BatCloak destaca a flexibilidade e adaptabilidade deste motor e destaca o desenvolvimento de ofuscadores de lotes FUD", concluíram os pesquisadores.
"Isso mostra a presença dessa técnica no panorama moderno de ameaças."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...