BatCloak マルウェア

サイバーセキュリティアナリストは、請求書をテーマにしたフィッシング詐欺を媒体として、 VenomRAT 、 RemcosRAT 、 XWormRAT 、 NanoCore RAT 、暗号通貨ウォレットを狙った窃盗マルウェアなど、一連の脅威となるソフトウェアを配布する高度な多段階攻撃を発見しました。

これらの詐欺メールには、Scalable Vector Graphics (SVG) ファイル形式の添付ファイルが含まれています。これらのファイルを開くと、一連の感染が引き起こされます。この操作で注目すべき点は、 BatCloakマルウェア難読化エンジンと ScrubCrypt を利用して、難読化されたバッチ スクリプトを通じてマルウェアを拡散していることです。

BatCloakマルウェアは、次の段階のペイロードの配信を容易にする

2022 年後半から他の脅威アクターが購入できるようになった BatCloak は、Jlaive と呼ばれるツールから派生したものです。その主な機能は、従来の検出方法を回避する方法で、後続段階のペイロードの読み込みを容易にすることです。

ScrubCryptは、2023年3月に8220 Gangが仕掛けたクリプトジャッキングキャンペーン中に研究者によって最初に特定されましたが、トレンドマイクロの昨年の調査結果によると、BatCloakの反復バージョンの1つであると考えられています。

サイバーセキュリティの専門家が精査した最新のキャンペーンでは、SVG ファイルは、おそらく BatCloak を使用して作成されたバッチ スクリプトを含む ZIP アーカイブを展開するための経路として機能します。その後、このスクリプトは ScrubCrypt バッチ ファイルを解凍し、ホスト上で永続性を確立し、AMSI および ETW 保護をバイパスする対策を実装した後、最終的に Venom RAT を実行します。

サイバー犯罪者はBatCloakを介して多数のマルウェアの脅威を展開

Quasar RATの派生である Venom RAT は、攻撃者が侵入したシステムを掌握し、機密データを収集し、コマンド アンド コントロール (C2) サーバーからコマンドを実行することを可能にします。Venom RAT のコア機能は単純に見えますが、C2 サーバーとの通信チャネルを確立して、さまざまなアクティビティのための追加のプラグインを取得します。これらには、キーロガー機能を備えた Venom RAT v6.0.3 のほか、NanoCore RAT、XWorm、Remcos RAT が含まれます。Remcos RAT プラグインは、難読化された VBS スクリプト「remcos.vbs」、ScrubCrypt、 GuLoader PowerShell の 3 つの方法で VenomRAT の C2 から配布されます。

また、プラグイン システムを介して配布されるのは、システム情報を収集し、Atomic Wallet、Electrum、Ethereum、Exodus、Jaxx Liberty (2023 年 3 月時点で廃止)、Zcash、Foxmail、Telegram などのウォレットやアプリケーションにリンクされたフォルダーからデータをリモート サーバーに吸い上げるスティーラーです。

記録されている高度な攻撃活動では、複数の難読化と回避戦術を採用し、ScrubCrypt を介して VenomRAT を拡散および実行します。攻撃者は、悪意のある添付ファイル付きのフィッシング メール、難読化されたスクリプト ファイル、Guloader PowerShell など、さまざまな手段を使用して、被害者のシステムに侵入して侵入します。さらに、多様なペイロードを通じてプラグインを展開していることから、攻撃活動の汎用性と適応性が強調されます。