Cybersecurity-onderzoekers hebben een ingewikkelde aanval in meerdere fasen ontdekt die phishing-lokkers met factuurthema gebruikt om een breed scala aan malware af te leveren, zoals Venom RAT, Remcos RAT, XWorm, NanoCore RAT en een stealer die zich richt op crypto-wallets.
De e-mailberichten worden geleverd met Scalable Vector Graphics (SVG)-bestandsbijlagen die, wanneer erop wordt geklikt, de infectiesequentie activeren, aldus Fortinet FortiGuard Labs in een technisch rapport.
De modus operandi is opmerkelijk vanwege het gebruik van de BatCloak-malware-verduisteringsengine en ScrubCrypt om de malware af te leveren in de vorm van versluierde batchscripts.
BatCloak, sinds eind 2022 te koop aangeboden aan andere bedreigingsactoren, heeft zijn basis in een andere tool genaamd Jlaive. Het belangrijkste kenmerk is het laden van een lading in de volgende fase op een manier die traditionele detectiemechanismen omzeilt.
ScrubCrypt, een crypter die voor het eerst werd gedocumenteerd door Fortinet in maart 2023 in verband met een cryptojacking-campagne georkestreerd door de 8220 Gang, wordt volgens onderzoek van Trend Micro vorig jaar beschouwd als een van de iteraties van BatCloak.
In de laatste campagne die door het cyberbeveiligingsbedrijf is geanalyseerd, dient het SVG-bestand als kanaal om een ZIP-archief te droppen dat een batchscript bevat dat waarschijnlijk is gemaakt met BatCloak, dat vervolgens het ScrubCrypt-batchbestand uitpakt om uiteindelijk Venom RAT uit te voeren, maar niet voordat het is geïnstalleerd persistentie op de host en het nemen van stappen om AMSI- en ETW-beveiligingen te omzeilen.
Venom RAT, een afsplitsing van Quasar RAT, stelt aanvallers in staat de controle over de aangetaste systemen over te nemen, gevoelige informatie te verzamelen en opdrachten uit te voeren die zij ontvangen van een command-and-control (C2)-server.
“Hoewel het primaire programma van Venom RAT eenvoudig lijkt, onderhoudt het communicatiekanalen met de C2-server om extra plug-ins voor verschillende activiteiten te verkrijgen”, aldus beveiligingsonderzoeker Cara Lin. Dit omvat Venom RAT v6.0.3 met keylogger-mogelijkheden, NanoCore RAT, XWorm en Remcos RAT.
“Dit [Remcos RAT] plugin werd gedistribueerd vanuit VenomRAT's C2 met behulp van drie methoden: een versluierd VBS-script genaamd 'remcos.vbs', ScrubCrypt en Guloader PowerShell,' voegde Lin eraan toe.
Met behulp van het plug-insysteem wordt ook een stealer geleverd die informatie over het systeem verzamelt en gegevens exfiltreert uit mappen die zijn gekoppeld aan portemonnees en applicaties zoals Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (met pensioen sinds maart 2023), Zcash, Foxmail en Telegram naar een externe server.
“Deze analyse onthult een geavanceerde aanval die gebruik maakt van meerdere lagen van verduisterings- en ontwijkingstechnieken om VenomRAT via ScrubCrypt te verspreiden en uit te voeren,” zei Lin.
“De aanvallers gebruiken verschillende methoden, waaronder phishing-e-mails met kwaadaardige bijlagen, versluierde scriptbestanden en Guloader PowerShell, om slachtoffersystemen te infiltreren en te compromitteren. Bovendien benadrukt het inzetten van plug-ins via verschillende payloads de veelzijdigheid en het aanpassingsvermogen van de aanvalscampagne.”
