Los investigadores de ciberseguridad han descubierto un sofisticado ataque de varias fases que utiliza señuelos de phishing con temática de facturas para distribuir una amplia gama de malware, como Venom RAT, Remcos RAT, XWorm, NanoCore RAT y un ladrón que ataca a las billeteras criptográficas. Este ataque, descubierto por Fortinet FortiGuard Labs, se propaga a través de archivos adjuntos de archivos SVG en correos electrónicos.
La característica más notable de este ataque es el uso del motor de ofuscación de malware BatCloak y de ScrubCrypt para entregar el malware en forma de scripts de lotes obfuscados. BatCloak, que se oferta a otros actores de amenazas desde 2022, es una herramienta que se basa en otra llamada Jlaive y permite cargar una carga útil de próxima fase de forma que evita los mecanismos de detección tradicionales. ScrubCrypt, un crypter que se identificó por primera vez en marzo de 2023, se evalúa como una de las iteraciones de BatCloak.
Los archivos SVG son utilizados para dejar caer un archivo ZIP que contiene un script de lotes creado probablemente utilizando BatCloak. Este script desempaqueta el archivo de lote ScrubCrypt para finalmente ejecutar Venom RAT, pero sólo después de establecer la persistencia en el host y tomar medidas para eludir las protecciones de AMSI y ETW.
Venom RAT es un fork de Quasar RAT que permite a los atacantes tomar el control de los sistemas comprometidos, recopilar información sensible y ejecutar comandos recibidos de un servidor de comando y control (C2). Además, el malware permite adquirir complementos adicionales para diversas actividades, incluyendo Venom RAT v6.0.3 con capacidades de keylogger, NanoCore RAT, XWorm y Remcos RAT.
El ataque también incluye un ladrón que recopila información sobre el sistema y exfiltra datos de carpetas asociadas con billeteras y aplicaciones. Estas incluyen Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty, Zcash, Foxmail y Telegram.
En resumen, este análisis revela un sofisticado ataque que utiliza múltiples capas de técnicas de ofuscación y evasión para distribuir y ejecutar VenomRAT a través de ScrubCrypt. Los atacantes utilizan una variedad de métodos, incluidos correos electrónicos de phishing con archivos maliciosos adjuntos, archivos de script ofuscados y Guloader PowerShell, para infiltrar y comprometer los sistemas de las víctimas. Además, desplegar complementos a través de diferentes cargas útiles destaca la versatilidad y adaptabilidad de la campaña de ataque.
Vía The Hacker News
