Eine hocheffektive Malware-Verschleierungs-Engine namens BatCloak Engine wird seit September 2022 eingesetzt, um verschiedene Arten von Malware zu verbreiten und dabei die Erkennung durch Antivirenprogramme geschickt zu umgehen.

Laut den Forschern von Trend Micro ermöglichen die Samples “Bedrohungsakteuren das mühelose Nachladen zahlreicher Malware-Familien und Exploits mithilfe stark verschleierter Batch-Dateien”. Das Cybersicherheitsunternehmen zeigte außerdem, dass etwa 79,6 % der 784 entdeckten Artefakte von allen Sicherheitslösungen unentdeckt blieben, was die Fähigkeit von BatCloak unterstreicht, herkömmliche Erkennungsmechanismen zu umgehen.

Das Herzstück eines handelsüblichen Tools zur Erstellung von Batch-Dateien namens Jlaive ist die BatCloak-Engine. Mit diesem Tool können Benutzer die Antimalware-Scan-Schnittstelle(AMSI) umgehen, die primäre Nutzlast komprimieren und verschlüsseln und eine verbesserte Sicherheitsumgehung erreichen.

Obwohl Jlaive ursprünglich ein Open-Source-Tool war, das im September 2022 von einem Entwickler namens ch2sh auf GitHub und GitLab veröffentlicht wurde, wurde es als “EXE to BAT crypter” vermarktet. Seitdem haben andere Akteure die Software geklont, modifiziert und auf Sprachen wie Rust portiert.

Die endgültige Nutzlast wird durch drei Loader-Schichten verborgen: einen C#-Loader, einen PowerShell-Loader und einen Batch-Loader. Der Batch Loader dient als Ausgangspunkt für die Dekodierung und das Entpacken jeder Stufe und aktiviert schließlich die versteckte Malware.

“Der Batch-Loader besteht aus einem verschleierten PowerShell-Loader und einem verschlüsselten C#-Stub-Binary”, erklären die Forscher Peter Girnus und Aliakbar Zahravi. “Schließlich nutzt Jlaive BatCloak als Datei-Verschleierungs-Engine, um den Batch-Loader zu verschleiern und auf einem Datenträger zu speichern.”

BatCloak hat seit seinem Erscheinen zahlreiche Aktualisierungen und Anpassungen erfahren, wobei die jüngste Version ScrubCrypt ist. Fortinet FortiGuard Labs machte zunächst auf ScrubCrypt aufmerksam, weil es mit einer Krypto-Jacking-Operation der 8220 Gang in Verbindung gebracht wurde.

Die Forscher merkten an, dass der Übergang von einem Open-Source-Framework zu einem Closed-Source-Modell, wie es bei ScrubCrypt zu beobachten ist, auf den Erfolg früherer Projekte wie Jlaive und das Ziel zurückzuführen ist, das Projekt zu monetarisieren und gleichzeitig vor unautorisierter Vervielfältigung zu schützen.

Außerdem ist ScrubCrypt so konzipiert, dass es mit verschiedenen bekannten Malware-Familien kompatibel ist, darunter Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT, Warzone RAT.

“Die Entwicklung von BatCloak zeigt die Flexibilität und Anpassungsfähigkeit dieser Engine und unterstreicht die Entwicklung von vollständig unentdeckbaren Batch-Obfuskatoren”, so die Forscher. “Dies zeigt, wie weit verbreitet diese Technik in der heutigen Bedrohungslandschaft ist.