ScrubCrypt 被用来投放 VenomRAT 以及许多恶意插件

Fortinet的研究人员观察到威胁行为者发送了一封包含恶意可伸缩矢量图形（SVG）文件的钓鱼邮件。该邮件经过精心制作，旨在诱使收件人点击附件，从而下载包含使用BatCloak工具混淆的批处理文件的ZIP文件。然后，攻击者使用ScrubCrypt加载最终的载荷VenomRAT。

恶意代码连接命令和控制（C2）服务器，以在受害者系统上安装附加插件。这些插件包括VenomRAT版本6、Remcos、XWorm、NanoCore以及一个专门设计用于从特定加密货币钱包中窃取资金的窃取程序。

该活动以其利用 BatCloak 恶意软件混淆引擎和 ScrubCrypt 通过混淆的批处理脚本分发恶意软件而引人注意。BatCloak 是一个完全不可检测（FUD）的恶意软件混淆引擎，自2022年9月以来被威胁行为者用来隐秘地传送其恶意软件。

2023年6月，趋势微观研究人员详细介绍了恶意软件混淆引擎 BatCloak，多个威胁行为者都在使用。专家分析的样本表明了其持久地规避反恶意软件解决方案的能力。

研究人员发现，BatCloak 引擎是一个名为 Jlaive 的 FUD 构建器的一部分，该构建器于2022年开始传播。对 Jlaive 存储库的分析揭示了开发者（ch2sh）在 FUD 技术方面的努力。开发者使用了 AES 加密并实施了绕过反恶意软件扫描接口（AMSI）的技术。自2022年9月存储包含此开源工具的存储库被关闭后，其他威胁行为者已经克隆并修改了它。研究人员发现修改过的版本和克隆版本将 Jlaive 作为一次性服务出售，而不是传统的订阅模式。

尽管许多包含修改或克隆 Jlaive 版本的存储库继续被从 GitHub 和 GitLab 等代码托管网站中删除，但威胁行为者继续上传代码，并且在某些情况下，开发团队还将其移植到其他语言，如 Rust。ScrubCrypt 加密器在黑客论坛上有售，它允许使用独特的 BAT 打包方法来保护应用程序。ScrubCrypt 首次在2023年3月被 Fortinet 详细介绍，当时被跟踪为 8220 Gang 的威胁行为者在加密货币挖矿活动中使用了它。Fortinet 专家得出结论，该活动非常复杂，因为利用多层混淆和规避技术通过 ScrubCrypt 分发和执行 VenomRAT。

报告得出结论：“攻击者采用各种方法，包括带有恶意附件的钓鱼邮件、混淆的脚本文件和 Guloader PowerShell，来渗透和破坏受害者系统。此外，通过不同的载荷部署插件突显了攻击活动的多功能性和适应性。” 

报告还包括威胁指标（IoCs）。“攻击者在系统中持续存在、规避检测并执行恶意载荷的能力强调了采取强有力的网络安全措施和警惕监控以有效减轻此类威胁的重要性。”

原文始发于微信公众号（黑猫安全）：ScrubCrypt 被用来投放 VenomRAT 以及许多恶意插件