ترفند جدید هکرها برای غیرقابل تشخیص شدن بدافزارها

مجرمان سایبری در حال استفاده از موتور قدرتمند BatCloak هستند تا بدافزارهای خود را غیرقابل تشخیص کنند.
 
به گزارش افتانا به نقل از هکرنیوز، یک موتور مبهم‌سازی بدافزار کاملاً غیرقابل کشف (FUD) به نام BatCloak برای استقرار گونه‌های مختلف بدافزار از سپتامبر ۲۰۲۲ استفاده می‌شود، در حالی که آنتی‌ویروس‌ها به هیچ وجه نمی‌توانند بدافزارها را تشخیص دهند.
 
محققان Trend Micro گفتند که این نمونه‌ها به عوامل تهدید این امکان را می‌دهند که خانواده‌های بدافزار و اکسپلویت‌های متعددی را به آسانی از طریق فایل‌های دسته‌ای بسیار مبهم دانلود کنند.
 
این شرکت امنیت سایبری اضافه کرد که حدود ۷۹.۶ درصد از کل ۷۸۴ مصنوع کشف شده در تمام راه‌حل‌های امنیتی هیچ تشخیصی ندارند و توانایی BatCloak برای دور زدن مکانیسم‌های تشخیص سنتی را برجسته می‌کند.

 
موتور BatCloak هسته یک ابزار سازنده فایل دسته‌ای به نام Jlaive را تشکیل می‌دهد که دارای قابلیت‌هایی برای دور زدن رابط اسکن ضد بدافزار (AMSI) و همچنین فشرده‌سازی و رمزگذاری بار اولیه برای دستیابی به فرار امنیتی شدید است.
 
این ابزار منبع باز، اگرچه از زمانی که از طریق GitHub و GitLab در سپتامبر ۲۰۲۲توسط توسعه‌دهنده‌ای به نام ch2sh در دسترس قرار گرفت، حذف شد، اما به‌عنوان «رمزگذار EXE به BAT» تبلیغ شده است. از آن زمان توسط بازیگران دیگر شبیه‌سازی و اصلاح شده و به زبان‌هایی مانند Rust منتقل شده است.

 
بار نهایی با استفاده از سه لایه لودر کپسوله می‌شود - یک لودر سی‌شارپ، یک لودر PowerShell و یک لودر دسته‌ای - که آخرین آن‌ها به عنوان نقطه شروع برای رمزگشایی و باز کردن هر مرحله عمل می‌کند و در نهایت بدافزار پنهان را منفجر می‌کند.
 
گفته می‌شود BatCloak از زمان ظهورش به‌روزرسانی‌ها و انطباق‌های متعددی دریافت کرده است. آخرین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با عملیات سرقت رمزارز توسط گروه 8220 برجسته شد.
 
ScrubCrypt به‌گونه‌ای طراحی شده است که با خانواده‌های مختلف بدافزار معروف مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT قابل همکاری باشد.
 
منبع: The Hacker News