Depuis septembre 2022, un moteur d’obscurcissement de logiciels malveillants très efficace, connu sous le nom de BatCloak Engine, est utilisé pour distribuer différents types de logiciels malveillants tout en évitant habilement d’être détecté par les programmes antivirus.

Selon les chercheurs de Trend Micro, les échantillons permettent aux « acteurs de la menace de charger sans effort de nombreuses familles de logiciels malveillants et d’exploits à l’aide de fichiers batch lourdement obscurcis ». L’entreprise de cybersécurité a également révélé qu’environ 79,6 % des 784 artefacts découverts n’ont pas été détectés par toutes les solutions de sécurité, ce qui souligne la capacité de BatCloak à contourner les mécanismes de détection conventionnels.

Le moteur BatCloak est au cœur d’un outil de création de fichiers batch prêt à l’emploi appelé Jlaive. Cet outil permet aux utilisateurs d’échapper à l’interface d’analyse antimalware(AMSI), de compresser et de chiffrer la charge utile principale et d’améliorer la sécurité.

Bien que Jlaive soit à l’origine un outil open-source publié sur GitHub et GitLab en septembre 2022 par un développeur nommé ch2sh, il a été commercialisé comme un « crypteur d’EXE en BAT ». Depuis, d’autres acteurs ont cloné, modifié et porté vers des langages comme Rust.

La charge utile finale est dissimulée par trois couches de chargeurs : un chargeur C#, un chargeur PowerShell et un chargeur batch. Le chargeur de lots sert de point de départ au décodage et au décompactage de chaque étape, pour finalement activer le logiciel malveillant caché.

« Le chargeur de lots se compose d’un chargeur PowerShell obscurci et d’un binaire stub C# chiffré », expliquent les chercheurs Peter Girnus et Aliakbar Zahravi. « En fin de compte, Jlaive utilise BatCloak comme moteur d’obscurcissement de fichier pour masquer le chargeur de lots et le stocker sur un disque. »

BatCloak a fait l’objet de nombreuses mises à jour et adaptations depuis son apparition, la version la plus récente étant ScrubCrypt. Fortinet FortiGuard Labs a initialement attiré l’attention sur ScrubCrypt en raison de son association avec une opération de crypto-jacking menée par le 8220 Gang.

Les chercheurs ont noté que la transition d’un cadre à source ouverte à un modèle à source fermée, comme c’est le cas pour ScrubCrypt, peut être attribuée au succès de projets antérieurs comme Jlaive et à l’objectif de monétiser le projet tout en le protégeant contre la réplication non autorisée.

En outre, ScrubCrypt est conçu pour être compatible avec plusieurs familles de logiciels malveillants bien connues, notamment Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT, Warzone RAT.

« L’évolution de BatCloak démontre la flexibilité et l’adaptabilité de ce moteur, mettant en évidence le développement d’obscurcisseurs par lots totalement indétectables », concluent les chercheurs. « Cela montre la prévalence de cette technique dans le paysage actuel des menaces.