Исследователи компании Trend Micro сообщили в недавнем отчёте , что с сентября 2022 года злоумышленники активно используют движок для обфускации вредоносных программ под названием BatCloak, который позволяет киберпреступникам эффективно скрывать вредоносный код от антивирусных решений.
По данным специалистов, с помощью BatCloak злоумышленники могут легко загружать разные семейства вредоносных программ и эксплойты через сильно обфусцированные пакетные файлы. Из 784 обнаруженных исследователями вредоносных программ почти 80% не были зафиксированы ни одним из антивирусных движков VirusTotal.
BatCloak является основой для инструмента построения пакетных файлов под названием Jlaive, который умеет обходить Antimalware Scan Interface (AMSI), а также сжимать и шифровать основную полезную нагрузку для повышения уровня уклонения.
Инструмент Jlaive был опубликован на GitHub и GitLab в сентябре 2022 года разработчиком под псевдонимом ch2sh как “EXE to BAT crypter”. С тех пор он был скопирован, модифицирован и перенесён на другие языки программирования.
Конечная полезная нагрузка представляет из себя “трёхслойный загрузчик” – C#-загрузчик, PowerShell-загрузчик и пакетный загрузчик. Последний служит отправной точкой для декодирования и распаковки каждого этапа, а в конечном итоге – запуска скрытого вируса.
Цепочка атаки с применением BatCloak
BatCloak получил много обновлений и адаптаций с тех пор, как впервые появился в дикой природе (
Эксплуатация уязвимостей может включать в себя различные виды атак, таких как внедрение кода, использование ботнетов, фишинг, распространение вредоносного ПО и другие. Злоумышленники могут использовать эти атаки для кражи личных данных, разрушения систем, вымогательства или других недобросовестных действий.
Борьба с “эксплуатацией в дикой природе” включает обнаружение уязвимостей, разработку и применение патчей, обновление антивирусных баз данных и обучение пользователей основам кибербезопасности для уменьшения риска атак.