Un motor de ofuscación de malware completamente indetectable (FUD) llamado capa de murciélago se está utilizando para implementar varias cepas de malware desde septiembre de 2022, mientras evade persistentemente la detección antivirus.
Las muestras otorgan a los «actores de amenazas la capacidad de cargar numerosas familias de malware y exploits con facilidad a través de archivos por lotes altamente ofuscados», investigadores de Trend Micro. dicho.
Alrededor del 79,6% del total de 784 artefactos desenterrados no tienen detección en todas las soluciones de seguridad, agregó la firma de ciberseguridad, destacando la capacidad de BatCloak para eludir los mecanismos de detección tradicionales.
El motor BatCloak forma el quid de una herramienta de generación de archivos por lotes lista para usar llamada Jlaive, que viene con capacidades para omitir la interfaz de escaneo antimalware (AARMI), así como comprimir y cifrar la carga principal para lograr una mayor evasión de seguridad.
La herramienta de código abierto, aunque se eliminó desde que un desarrollador llamado ch2sh la puso a disposición a través de GitHub y GitLab en septiembre de 2022, se ha anunciado como un «encriptador EXE a BAT». Desde entonces, ha sido clonado y modificado por otros actores y portado a lenguajes como Rust.
La carga útil final se encapsula utilizando tres capas de cargador: un cargador de C#, un cargador de PowerShell y un cargador por lotes, el último de los cuales actúa como punto de partida para decodificar y desempaquetar cada etapa y, en última instancia, detonar el malware oculto.
«El cargador por lotes contiene un cargador PowerShell ofuscado y un código binario C# encriptado», dijeron los investigadores Peter Girnus y Aliakbar Zahravi. «Al final, Jlaive usa BatCloak como un motor de ofuscación de archivos para ofuscar el cargador por lotes y guardarlo en un disco».
Se dice que BatCloak ha recibido numerosas actualizaciones y adaptaciones desde su aparición en la naturaleza, siendo su versión más reciente ScrubCrypt, que Fortinet FortiGuard Labs destacó por primera vez en relación con una operación de cryptojacking montada por 8220 Gang.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«La decisión de pasar de un marco de código abierto a un modelo de código cerrado, tomada por el desarrollador de ScrubCrypt, puede atribuirse a los logros de proyectos anteriores como Jlaive, así como al deseo de monetizar el proyecto y salvaguardarlo. contra la replicación no autorizada», dijeron los investigadores.
Además, ScrubCrypt está diseñado para ser interoperable con varias familias de malware conocidas como Amadey, AsyncRAT, DarkCrystal RAT, Pure Miner, Quasar RAT, RedLine Stealer, Remcos RAT, SmokeLoader, VenomRAT y Warzone RAT.
«La evolución de BatCloak subraya la flexibilidad y la adaptabilidad de este motor y destaca el desarrollo de ofuscadores por lotes FUD», concluyeron los investigadores. «Esto muestra la presencia de esta técnica en el panorama de amenazas moderno».