“BatCloak Engine: Niet-opspoorbare malware voor cybercriminelen”.

Reading Time: ( Word Count: )

juni 12, 2023
Nextdoorsec-course

Sinds september 2022 wordt een zeer effectieve malware-obfuscatie-engine gebruikt die bekend staat als BatCloak Engine om verschillende soorten malware te verspreiden terwijl detectie door antivirusprogramma’s vakkundig wordt vermeden.

Volgens onderzoekers van Trend Micro stellen de samples “bedreigers in staat om moeiteloos talloze families van malware en exploits te laden met behulp van zwaar versleutelde batchbestanden”. Het cyberbeveiligingsbedrijf onthulde verder dat ongeveer 79,6% van de 784 ontdekte artefacten niet werden gedetecteerd door alle beveiligingsoplossingen, wat het vermogen van BatCloak benadrukt om conventionele detectiemechanismen te omzeilen.

De kern van een kant-en-klaar batchbestand-bouwprogramma genaamd Jlaive is de BatCloak-engine. Met dit hulpprogramma kunnen gebruikersAMSI (Antimalware Scan Interface) omzeilen, de primaire payload comprimeren en versleutelen en een verbeterde beveiligingsomzeiling bereiken.

Hoewel Jlaive oorspronkelijk een open-source tool was, uitgebracht op GitHub en GitLab in september 2022 door een ontwikkelaar met de naam ch2sh, is het op de markt gebracht als een “EXE to BAT crypter”. Sindsdien hebben andere actoren dit gekloond, aangepast en geport naar talen als Rust.

De uiteindelijke payload wordt verborgen via drie loaderlagen: een C# loader, een PowerShell loader en een batch loader. De batchloader dient als beginpunt voor het decoderen en uitpakken van elke stap, waardoor uiteindelijk de verborgen malware wordt geactiveerd.

BatCloak motor

“De batch loader bestaat uit een versleutelde PowerShell loader en een versleutelde C# stub binary,” leggen onderzoekers Peter Girnus en Aliakbar Zahravi uit. “Uiteindelijk gebruikt Jlaive BatCloak als een bestandsverduisteringsengine om de batchloader te verduisteren en op te slaan op een schijf.”

BatCloak heeft sinds zijn ontstaan talloze updates en aanpassingen ondergaan. De meest recente versie is ScrubCrypt. Fortinet FortiGuard Labs vestigde aanvankelijk de aandacht op ScrubCrypt vanwege de associatie met een crypto-jackingoperatie die werd uitgevoerd door de 8220 Gang.

De onderzoekers merkten op dat de overgang van een open-source framework naar een closed-source model, zoals gezien bij ScrubCrypt, kan worden toegeschreven aan het succes van eerdere projecten zoals Jlaive en het doel om het project te gelde te maken en het tegelijkertijd te beschermen tegen ongeautoriseerde replicatie.

Bovendien is ScrubCrypt ontworpen om compatibel te zijn met verschillende bekende malwarefamilies, waaronder Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT en Warzone RAT.

“De evolutie van BatCloak demonstreert de flexibiliteit en aanpasbaarheid van deze engine en benadrukt de ontwikkeling van volledig ondetecteerbare batch-verduisteraars,” concludeerden de onderzoekers. “Dit laat zien hoe wijdverbreid deze techniek is in het hedendaagse bedreigingslandschap.”

Saher Mahmood

Saher Mahmood

Author

Saher is a cybersecurity researcher with a passion for innovative technology and AI. She explores the intersection of AI and cybersecurity to stay ahead of evolving threats.

Other interesting articles

“Apple neutraliseert misbruikte kwetsbaarheden: Een uitgebreide update”

Apple heeft beveiligingsverbeteringen geïntroduceerd om 'zero-day'-kwetsbaarheden te neutraliseren die zijn ...

“De AI-prestaties van ChatGPT: Verder dan de Turingtest of nog niet helemaal?”

ChatGPT, een kunstmatige intelligentie chatbot van OpenAI, heeft door zijn buitengewone capaciteiten veel stof ...

“Verliest Threads zijn draad? De Twitter rivaal van Instagram nader bekeken”.

Een artikel van de Wall Street Journal van vrijdag waarschuwde dat Instagram's nieuwe concurrent voor Twitter, ...

“VirusTotal’s datalek: Menselijke fout of systeemfout?”

Vrijdag betuigde VirusTotal spijt over het onopzettelijk blootstellen van de gegevens van meer dan 5.600 klanten ...
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *