Sinds september 2022 wordt een zeer effectieve malware-obfuscatie-engine gebruikt die bekend staat als BatCloak Engine om verschillende soorten malware te verspreiden terwijl detectie door antivirusprogramma’s vakkundig wordt vermeden.

Volgens onderzoekers van Trend Micro stellen de samples “bedreigers in staat om moeiteloos talloze families van malware en exploits te laden met behulp van zwaar versleutelde batchbestanden”. Het cyberbeveiligingsbedrijf onthulde verder dat ongeveer 79,6% van de 784 ontdekte artefacten niet werden gedetecteerd door alle beveiligingsoplossingen, wat het vermogen van BatCloak benadrukt om conventionele detectiemechanismen te omzeilen.

De kern van een kant-en-klaar batchbestand-bouwprogramma genaamd Jlaive is de BatCloak-engine. Met dit hulpprogramma kunnen gebruikersAMSI (Antimalware Scan Interface) omzeilen, de primaire payload comprimeren en versleutelen en een verbeterde beveiligingsomzeiling bereiken.

Hoewel Jlaive oorspronkelijk een open-source tool was, uitgebracht op GitHub en GitLab in september 2022 door een ontwikkelaar met de naam ch2sh, is het op de markt gebracht als een “EXE to BAT crypter”. Sindsdien hebben andere actoren dit gekloond, aangepast en geport naar talen als Rust.

De uiteindelijke payload wordt verborgen via drie loaderlagen: een C# loader, een PowerShell loader en een batch loader. De batchloader dient als beginpunt voor het decoderen en uitpakken van elke stap, waardoor uiteindelijk de verborgen malware wordt geactiveerd.

“De batch loader bestaat uit een versleutelde PowerShell loader en een versleutelde C# stub binary,” leggen onderzoekers Peter Girnus en Aliakbar Zahravi uit. “Uiteindelijk gebruikt Jlaive BatCloak als een bestandsverduisteringsengine om de batchloader te verduisteren en op te slaan op een schijf.”

BatCloak heeft sinds zijn ontstaan talloze updates en aanpassingen ondergaan. De meest recente versie is ScrubCrypt. Fortinet FortiGuard Labs vestigde aanvankelijk de aandacht op ScrubCrypt vanwege de associatie met een crypto-jackingoperatie die werd uitgevoerd door de 8220 Gang.

De onderzoekers merkten op dat de overgang van een open-source framework naar een closed-source model, zoals gezien bij ScrubCrypt, kan worden toegeschreven aan het succes van eerdere projecten zoals Jlaive en het doel om het project te gelde te maken en het tegelijkertijd te beschermen tegen ongeautoriseerde replicatie.

Bovendien is ScrubCrypt ontworpen om compatibel te zijn met verschillende bekende malwarefamilies, waaronder Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT en Warzone RAT.

“De evolutie van BatCloak demonstreert de flexibiliteit en aanpasbaarheid van deze engine en benadrukt de ontwikkeling van volledig ondetecteerbare batch-verduisteraars,” concludeerden de onderzoekers. “Dit laat zien hoe wijdverbreid deze techniek is in het hedendaagse bedreigingslandschap.”