Libérer la puissance du moteur BatCloak : les cybercriminels obtiennent une furtivité totale contre les logiciels malveillants

Depuis septembre 2022, les cybercriminels utilisent BatCloak, un moteur d'obfuscation de logiciels malveillants puissant et entièrement indétectable (FUD), pour déployer une gamme de souches de logiciels malveillants. Malgré les efforts persistants du logiciel antivirus, BatCloak a réussi à échapper à la détection, permettant aux acteurs de la menace de charger de manière transparente diverses familles de logiciels malveillants et exploits via des fichiers batch fortement obscurcis.

Selon les chercheurs de Trend Micro, sur les 784 artefacts découverts, un pourcentage alarmant de 79,6 % reste non détecté par toutes les solutions de sécurité, ce qui souligne l'efficacité de BatCloak à contourner les mécanismes de détection traditionnels.

La mécanique du moteur BatCloak

Jlaive, un constructeur de fichiers batch prêt à l'emploi, s'appuie sur le puissant moteur BatCloak pour une évasion de sécurité avancée. Il peut contourner l'interface AMSI (Antimalware Scan Interface), crypter et compresser les charges utiles et servir de "crypteur EXE vers BAT".

Bien que l'outil open source ait disparu de GitHub et GitLab peu de temps après sa sortie par ch2sh en septembre 2022, d'autres acteurs ont cloné, modifié et même porté sur Rust. La charge utile finale est dissimulée dans trois couches de chargeur : un chargeur C#, un chargeur PowerShell et un chargeur par lots. Ce chargeur par lots, le point de départ, décode et décompresse chaque étape pour activer le malware caché. Les chercheurs Peter Girnus et Aliakbar Zahravi ont mis en évidence la présence d'un chargeur PowerShell obscurci et d'un binaire stub C# chiffré dans le chargeur par lots. En fin de compte, Jlaive utilise BatCloak comme moteur d'obscurcissement de fichiers pour protéger le chargeur par lots, en le stockant sur un disque.

ScrubCrypt : la prochaine évolution de BatCloak

BatCloak, un moteur d'obfuscation de logiciels malveillants hautement dynamique, a subi des avancées et des adaptations significatives depuis son émergence initiale. L'une de ses récentes itérations, connue sous le nom de ScrubCrypt, a attiré l'attention lorsque Fortinet FortiGuard Labs l'a connectée à une campagne de cryptojacking orchestrée par le célèbre 8220 Gang. La décision du développeur de passer d'un framework open-source à un modèle open-source a été motivée par les succès d'entreprises précédentes comme Jlaive et l'objectif de monétiser le projet et de le protéger contre la réplication non autorisée.

Les chercheurs affirment que ScrubCrypt s'intègre de manière transparente à diverses familles de logiciels malveillants de premier plan, notamment Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT et Warzone RAT . Cette évolution de BatCloak illustre son adaptabilité et sa polyvalence en tant que puissant obfuscateur de lots FUD, soulignant sa prévalence dans le paysage des menaces en constante évolution.