Cibercriminosos utilizando o poderoso motor BatCloak para tornar o malware totalmente indetectável
12 de Junho de 2023

Um motor ('engine') de ofuscação de malware totalmente indetectável (FUD) chamado BatCloak está sendo usado desde setembro de 2022 para implantar várias cepas de malware, enquanto evita persistentemente a detecção de antivírus.

As amostras concedem "aos atores de ameaças a capacidade de carregar numerosas famílias de malware e exploits com facilidade por meio de arquivos batch altamente ofuscados", disseram os pesquisadores da Trend Micro.

Cerca de 79,6% dos 784 artefatos encontrados não têm detecção em todas as soluções de segurança, acrescentou a empresa de cibersegurança, destacando a capacidade do BatCloak de contornar mecanismos de detecção tradicionais.

O motor BatCloak forma o cerne de uma ferramenta de construção de arquivos batch pronta para uso chamada Jlaive, que vem com capacidades para contornar a Interface de Verificação Antimalware (AMSI), bem como compactar e criptografar o payload principal para alcançar evasão de segurança aprimorada.

A ferramenta de código aberto, embora tenha sido removida desde que ficou disponível via GitHub e GitLab em setembro de 2022 pelo desenvolvedor chamado ch2sh, foi anunciada como um "cripter EXE para BAT".

Desde então, foi clonada e modificada por outros atores e portada para linguagens como Rust.

O payload final é encapsulado usando três camadas de carregador - um carregador C#, um carregador PowerShell e um carregador batch - este último atua como ponto de partida para decodificar e descompactar cada estágio e, finalmente, detonar o malware oculto.

"O carregador batch contém um carregador PowerShell ofuscado e um binário C# criptografado", disseram os pesquisadores Peter Girnus e Aliakbar Zahravi.

"No final, Jlaive usa BatCloak como um motor de ofuscação de arquivos para ofuscar o carregador batch e salvá-lo em um disco."

Diz-se que o BatCloak recebeu inúmeras atualizações e adaptações desde sua emergência, sendo sua versão mais recente o ScrubCrypt, que foi destacado pela primeira vez pelo Fortinet FortiGuard Labs em conexão com uma operação de cryptojacking montada pelo grupo 8220.

O ScrubCrypt é projetado para ser interoperável com várias famílias conhecidas de malware, como Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT e Warzone RAT.

"A evolução do BatCloak destaca a flexibilidade e adaptabilidade deste motor e destaca o desenvolvimento de ofuscadores de lotes FUD", concluíram os pesquisadores.

"Isso mostra a presença dessa técnica no panorama moderno de ameaças."

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...