Logiciel malveillant BatCloak

Les analystes de la cybersécurité ont découvert une attaque sophistiquée en plusieurs phases utilisant des leurres de phishing sur le thème des factures comme moyen de diffuser une gamme de logiciels menaçants, notamment le VenomRAT , le RemcosRAT , le XWormRAT , le NanoCore RAT et un voleur ciblant les portefeuilles cryptographiques.

Ces e-mails frauduleux contiennent des pièces jointes sous la forme de fichiers SVG (Scalable Vector Graphics). Une fois ouverts, ces fichiers déclenchent une séquence d’infections. Il convient de noter dans cette opération l'utilisation du moteur d'obscurcissement des logiciels malveillants BatCloak et de ScrubCrypt pour diffuser le logiciel malveillant via des scripts batch obscurcis.

Le logiciel malveillant BatCloak facilite la livraison des charges utiles de la prochaine étape

BatCloak, disponible à l'achat par d'autres acteurs malveillants depuis fin 2022, provient d'un outil connu sous le nom de Jlaive. Sa fonction principale est de faciliter le chargement d’une charge utile ultérieure d’une manière qui échappe aux méthodes de détection conventionnelles.

ScrubCrypt, initialement identifié par des chercheurs en mars 2023 lors d'une campagne de cryptojacking orchestrée par le gang 8220, serait l'une des itérations de BatCloak, selon les conclusions de Trend Micro l'année dernière.

Dans la campagne la plus récente scrutée par les spécialistes de la cybersécurité, le fichier SVG sert de canal pour déployer une archive ZIP contenant un script batch probablement conçu à l'aide de BatCloak. Ce script décompresse ensuite le fichier batch ScrubCrypt pour finalement exécuter Venom RAT après avoir établi la persistance sur l'hôte et mis en œuvre des mesures pour contourner les protections AMSI et ETW.

Les cybercriminels déploient de nombreuses menaces de logiciels malveillants via BatCloak

Une émanation du Quasar RAT , le Venom RAT permet aux attaquants de s'emparer de systèmes compromis, de récolter des données sensibles et d'exécuter des commandes à partir d'un serveur de commande et de contrôle (C2). Bien que la fonctionnalité principale du Venom RAT puisse sembler simple, elle établit des canaux de communication avec le serveur C2 pour fournir des plugins supplémentaires pour diverses activités. Ceux-ci incluent Venom RAT v6.0.3, qui est équipé de capacités d'enregistrement de frappe, ainsi que NanoCore RAT, XWorm et Remcos RAT. Le plugin Remcos RAT est diffusé à partir du C2 de VenomRAT via trois méthodes : un script VBS obscurci nommé « remcos.vbs », ScrubCrypt et GuLoader PowerShell.

Un voleur est également distribué via le système de plugins qui récupère les informations système et siphonne les données des dossiers liés aux portefeuilles et aux applications telles que Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (arrêté depuis mars 2023), Zcash, Foxmail et Telegram pour un serveur distant.

L'opération d'attaque sophistiquée documentée utilise plusieurs couches de tactiques d'obscurcissement et d'évasion pour diffuser et exécuter VenomRAT via ScrubCrypt. Les auteurs utilisent divers moyens, notamment des e-mails de phishing contenant des pièces jointes malveillantes, des fichiers de script obscurcis et Guloader PowerShell, pour violer et compromettre les systèmes des victimes. De plus, le déploiement de plugins via diverses charges utiles souligne la polyvalence et l’adaptabilité de la campagne d’attaque.