Un motor de ofuscación de malware completamente indetectable llamado BatCloak está siendo utilizado desde septiembre de 2022 para desplegar varias cepas de malware, eludiendo persistentemente la detección de antivirus.
Las muestras brindan a los "actores de amenazas la capacidad de cargar numerosas familias de malware y exploits fácilmente a través de archivos por lotes altamente ofuscados", según investigadores de Trend Micro. Aproximadamente el 79,6% de los 784 artefactos descubiertos en total no son detectados por ninguna solución de seguridad, agregó la empresa de ciberseguridad, destacando la capacidad de BatCloak para evadir los mecanismos de detección tradicionales.
El motor BatCloak es el núcleo de una herramienta de creación de archivos por lotes lista para usar llamada Jlaive, que cuenta con capacidades para evadir la Interfaz de Escaneo Antimalware (AMSI), asà como comprimir y cifrar la carga útil principal para lograr una evasión de seguridad más alta. Aunque la herramienta de código abierto fue retirada después de haber sido publicada en GitHub y GitLab en septiembre de 2022 por un desarrollador llamado ch2sh, se anunció como un "crypter EXE to BAT". Desde entonces, ha sido clonada y modificada por otros actores y se ha adaptado a lenguajes como Rust.
Malware completamente indetectable La carga útil final se encapsula utilizando tres capas de cargadores: un cargador en C#, un cargador en PowerShell y un cargador por lotes, este último actúa como punto de partida para descodificar y desempaquetar cada etapa y, en última instancia, detonar el malware oculto.
"El cargador por lotes contiene un cargador en PowerShell ofuscado y un binario en C# cifrado", dijeron los investigadores Peter Girnus y Aliakbar Zahravi. "Al final, Jlaive utiliza BatCloak como un motor de ofuscación de archivos para ofuscar el cargador por lotes y guardarlo en un disco". Se dice que BatCloak ha recibido numerosas actualizaciones y adaptaciones desde su aparición en la naturaleza, siendo su versión más reciente ScrubCrypt, que fue destacada por primera vez por Fortinet FortiGuard Labs en relación con una operación de criptominerÃa realizada por la banda 8220.
"La decisión de pasar de un marco de código abierto a un modelo de código cerrado, tomada por el desarrollador de ScrubCrypt, se puede atribuir a los logros de proyectos anteriores como Jlaive, asà como al deseo de monetizar el proyecto y protegerlo contra la replicación no autorizada", dijeron los investigadores. Además, ScrubCrypt está diseñado para ser interoperable con varias familias de malware conocidas como Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT y Warzone RAT.
"La evolución de BatCloak destaca la flexibilidad y adaptabilidad de este motor y resalta el desarrollo de ofuscadores de archivos por lotes indetectables", concluyeron los investigadores. "Esto muestra la presencia de esta técnica en el panorama actual de amenazas".
¿Quieres saber más?