Un moteur d’obfuscation de logiciels malveillants totalement indétectable (FUD) nommé Cape de chauve-souris est utilisé pour déployer diverses souches de logiciels malveillants depuis septembre 2022, tout en évitant constamment la détection antivirus.
Les échantillons permettent aux « acteurs de la menace de charger facilement de nombreuses familles de logiciels malveillants et exploits via des fichiers de commandes hautement obscurcis », ont déclaré les chercheurs de Trend Micro.
Environ 79,6% des 784 artefacts découverts au total n’ont aucune détection dans toutes les solutions de sécurité, a ajouté la société de cybersécurité, soulignant la capacité de BatCloak à contourner les mécanismes de détection traditionnels.
Le moteur BatCloak est au cœur d’un outil de création de fichiers par lots prêt à l’emploi appelé Jlaive, qui permet de contourner l’interface d’analyse antimalware (AMSI) ainsi que de compresser et de chiffrer la charge utile principale pour obtenir une évasion de sécurité accrue.
L’outil open source, bien que retiré depuis sa mise à disposition via GitHub et GitLab en septembre 2022 par un développeur nommé ch2sh, a été annoncé comme un « crypteur EXE vers BAT ». Il a depuis été cloné et modifié par d’autres acteurs et porté sur des langages tels que Rust.
La charge utile finale est encapsulée à l’aide de trois couches de chargeur – un chargeur C #, un chargeur PowerShell et un chargeur par lots – dont le dernier sert de point de départ pour décoder et décompresser chaque étape et finalement faire exploser le logiciel malveillant caché.
« Le chargeur par lots contient un chargeur PowerShell obscurci et un binaire stub C# chiffré », ont déclaré les chercheurs Peter Girnus et Aliakbar Zahravi. « En fin de compte, Jlaive utilise BatCloak comme moteur d’obscurcissement de fichiers pour obscurcir le chargeur par lots et l’enregistrer sur un disque. »
BatCloak aurait reçu de nombreuses mises à jour et adaptations depuis son émergence dans la nature, sa version la plus récente étant ScrubCrypt, qui a été mise en évidence pour la première fois par Fortinet FortiGuard Labs dans le cadre d’une opération de cryptojacking montée par le 8220 Gang.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Rejoindre la séance
« La décision de passer d’un framework open-source à un modèle open-source, prise par le développeur de ScrubCrypt, peut être attribuée aux réalisations de projets antérieurs tels que Jlaive, ainsi qu’à la volonté de monétiser le projet et de le sauvegarder. contre la réplication non autorisée », ont déclaré les chercheurs.
De plus, ScrubCrypt est conçu pour être interopérable avec diverses familles de logiciels malveillants bien connus comme Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT et Warzone RAT.
« L’évolution de BatCloak souligne la flexibilité et l’adaptabilité de ce moteur et met en évidence le développement des obfuscateurs de lots FUD », ont conclu les chercheurs. « Cela montre la présence de cette technique dans le paysage des menaces modernes. »
