BatCloak エンジンの力を解き放つ: サイバー犯罪者は完全なマルウェア ステルスを実現

2022 年 9 月以来、サイバー犯罪者は、強力で完全に検出不可能 (FUD) マルウェア難読化エンジンである BatCloak を利用して、さまざまなマルウェア株を展開しています。ウイルス対策ソフトウェアによる絶え間ない努力にもかかわらず、BatCloak は検出を回避することに成功し、攻撃者が高度に難読化されたバッチ ファイルを通じてさまざまなマルウェア ファミリやエクスプロイトをシームレスにロードできるようにしました。

トレンドマイクロの研究者によると、発見された 784 個のアーティファクトのうち、驚くべきことに 79.6% がすべてのセキュリティ ソリューションによって検出されず、従来の検出メカニズムを回避する上での BatCloak の有効性が強調されています。

BatCloak エンジンの仕組み

Jlaive は既製のバッチ ファイル ビルダーであり、高度なセキュリティ回避のために強力な BatCloak エンジンに依存しています。 Antimalware Scan Interface (AMSI) をバイパスし、ペイロードを暗号化して圧縮し、「EXE to BAT クリプター」として機能します。

このオープンソース ツールは、2022 年 9 月に ch2sh によってリリースされた直後に GitHub と GitLab から姿を消しましたが、他の攻撃者がクローンを作成し、変更し、さらには Rust に移植しました。最終的なペイロードは、C# ローダー、PowerShell ローダー、バッチ ローダーの 3 つのローダー層内に隠蔽されています。このバッチ ローダーは開始点であり、各ステージをデコードして解凍し、隠れたマルウェアをアクティブにします。研究者の Peter Girnus 氏と Aliakbar Zahravi 氏は、バッチ ローダー内に難読化された PowerShell ローダーと暗号化された C# スタブ バイナリが存在することを強調しました。最終的に、Jlaive はファイル難読化エンジンとして BatCloak を利用してバッチ ローダーを保護し、ディスクに保存します。

ScrubCrypt: BatCloak の次の進化形

非常に動的なマルウェア難読化エンジンである BatCloak は、最初に登場して以来、大幅な進歩と適応を経てきました。最近のバージョンの 1 つである ScrubCrypt は、フォーティネット FortiGuard Labs がそれを、悪名高い 8220 ギャングが組織したクリプトジャッキング キャンペーンに結びつけたことで注目を集めました。オープンソース フレームワークからクローズドソース モデルに移行するという開発者の決定は、Jlaive のような以前のベンチャーの成功と、プロジェクトを収益化し、不正な複製から保護するという目的によって動機付けられました。

研究者らは、ScrubCrypt がAmadey 、 AsyncRAT 、 DarkCrystal RAT 、 Pure Miner 、 Quasar RAT 、 RedLine Stealer 、 Remcos RAT 、 SmokeLoader 、 VenomRAT 、 Warzone RATなどのさまざまな著名なマルウェア ファミリとシームレスに統合すると主張しています。 BatCloak のこの進化は、強力な FUD バッチ難読化ツールとしてのその適応性と多用途性を実証し、進化し続ける脅威の状況におけるその普及率を強調しています。