کمیته رکن چهارم – مجرمان سایبری در حال استفاده از موتور قدرتمند BatCloak هستند تا بدافزارهای خود را غیرقابل تشخیص کنند.
یک موتور مبهمسازی بدافزار کاملاً غیرقابل کشف (FUD) به نام BatCloak برای استقرار گونههای مختلف بدافزار از سپتامبر ۲۰۲۲ استفاده میشود، در حالی که آنتیویروسها به هیچ وجه نمیتوانند بدافزارها را تشخیص دهند.
محققان Trend Micro گفتند که این نمونهها به عوامل تهدید این امکان را میدهند که خانوادههای بدافزار و اکسپلویتهای متعددی را به آسانی از طریق فایلهای دستهای بسیار مبهم دانلود کنند.
این شرکت امنیت سایبری اضافه کرد که حدود ۷۹.۶ درصد از کل ۷۸۴ مصنوع کشف شده در تمام راهحلهای امنیتی هیچ تشخیصی ندارند و توانایی BatCloak برای دور زدن مکانیسمهای تشخیص سنتی را برجسته میکند.
موتور BatCloak هسته یک ابزار سازنده فایل دستهای به نام Jlaive را تشکیل میدهد که دارای قابلیتهایی برای دور زدن رابط اسکن ضد بدافزار (AMSI) و همچنین فشردهسازی و رمزگذاری بار اولیه برای دستیابی به فرار امنیتی شدید است.
این ابزار منبع باز، اگرچه از زمانی که از طریق GitHub و GitLab در سپتامبر ۲۰۲۲توسط توسعهدهندهای به نام ch2sh در دسترس قرار گرفت، حذف شد، اما بهعنوان «رمزگذار EXE به BAT» تبلیغ شده است. از آن زمان توسط بازیگران دیگر شبیهسازی و اصلاح شده و به زبانهایی مانند Rust منتقل شده است.
بار نهایی با استفاده از سه لایه لودر کپسوله میشود – یک لودر سیشارپ، یک لودر PowerShell و یک لودر دستهای – که آخرین آنها به عنوان نقطه شروع برای رمزگشایی و باز کردن هر مرحله عمل میکند و در نهایت بدافزار پنهان را منفجر میکند.
گفته میشود BatCloak از زمان ظهورش بهروزرسانیها و انطباقهای متعددی دریافت کرده است. آخرین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با عملیات سرقت رمزارز توسط گروه ۸۲۲۰ برجسته شد.
ScrubCrypt بهگونهای طراحی شده است که با خانوادههای مختلف بدافزار معروف مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT قابل همکاری باشد.
منبع: افتانا