“BatCloak Engine: Die unerkennbare Malware der Cyberkriminellen”

Reading Time: ( Word Count: )

June 12, 2023
Nextdoorsec-course

Eine hocheffektive Malware-Verschleierungs-Engine namens BatCloak Engine wird seit September 2022 eingesetzt, um verschiedene Arten von Malware zu verbreiten und dabei die Erkennung durch Antivirenprogramme geschickt zu umgehen.

Laut den Forschern von Trend Micro ermöglichen die Samples “Bedrohungsakteuren das mühelose Nachladen zahlreicher Malware-Familien und Exploits mithilfe stark verschleierter Batch-Dateien”. Das Cybersicherheitsunternehmen zeigte außerdem, dass etwa 79,6 % der 784 entdeckten Artefakte von allen Sicherheitslösungen unentdeckt blieben, was die Fähigkeit von BatCloak unterstreicht, herkömmliche Erkennungsmechanismen zu umgehen.

Das Herzstück eines handelsüblichen Tools zur Erstellung von Batch-Dateien namens Jlaive ist die BatCloak-Engine. Mit diesem Tool können Benutzer die Antimalware-Scan-Schnittstelle(AMSI) umgehen, die primäre Nutzlast komprimieren und verschlüsseln und eine verbesserte Sicherheitsumgehung erreichen.

Obwohl Jlaive ursprünglich ein Open-Source-Tool war, das im September 2022 von einem Entwickler namens ch2sh auf GitHub und GitLab veröffentlicht wurde, wurde es als “EXE to BAT crypter” vermarktet. Seitdem haben andere Akteure die Software geklont, modifiziert und auf Sprachen wie Rust portiert.

Die endgültige Nutzlast wird durch drei Loader-Schichten verborgen: einen C#-Loader, einen PowerShell-Loader und einen Batch-Loader. Der Batch Loader dient als Ausgangspunkt für die Dekodierung und das Entpacken jeder Stufe und aktiviert schließlich die versteckte Malware.

BatCloak-Motor

“Der Batch-Loader besteht aus einem verschleierten PowerShell-Loader und einem verschlüsselten C#-Stub-Binary”, erklären die Forscher Peter Girnus und Aliakbar Zahravi. “Schließlich nutzt Jlaive BatCloak als Datei-Verschleierungs-Engine, um den Batch-Loader zu verschleiern und auf einem Datenträger zu speichern.”

BatCloak hat seit seinem Erscheinen zahlreiche Aktualisierungen und Anpassungen erfahren, wobei die jüngste Version ScrubCrypt ist. Fortinet FortiGuard Labs machte zunächst auf ScrubCrypt aufmerksam, weil es mit einer Krypto-Jacking-Operation der 8220 Gang in Verbindung gebracht wurde.

Die Forscher merkten an, dass der Übergang von einem Open-Source-Framework zu einem Closed-Source-Modell, wie es bei ScrubCrypt zu beobachten ist, auf den Erfolg früherer Projekte wie Jlaive und das Ziel zurückzuführen ist, das Projekt zu monetarisieren und gleichzeitig vor unautorisierter Vervielfältigung zu schützen.

Außerdem ist ScrubCrypt so konzipiert, dass es mit verschiedenen bekannten Malware-Familien kompatibel ist, darunter Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT, Warzone RAT.

“Die Entwicklung von BatCloak zeigt die Flexibilität und Anpassungsfähigkeit dieser Engine und unterstreicht die Entwicklung von vollständig unentdeckbaren Batch-Obfuskatoren”, so die Forscher. “Dies zeigt, wie weit verbreitet diese Technik in der heutigen Bedrohungslandschaft ist.

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

Automated vs Manual Penetration Testing

Automated vs Manual Penetration Testing

Pentesting is largely divided into two methodologies: Automated vs Manual Penetration Testing. Both have ...
8 Steps in Penetration Testing You Should Know

8 Steps in Penetration Testing You Should Know

Mastering the art of penetration testing has become a critical ability for security experts to combat cyber ...
Spear Phishing vs Whaling: What is the Difference

Spear Phishing vs Whaling: What is the Difference

Spear phishing is a particularly devious type of phishing assault in which the individual targeted plays a ...
How Often Should Penetration Testing Be Done

How Often Should Penetration Testing Be Done

Penetration testing is a crucial technique that involves simulating a cyberattack on networks, computer systems, ...
0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *