По данным исследователей Fortinet, злоумышленники отправляют электронные письма с вложениями в формате Scalable Vector Graphics (SVG). При открытии таких файлов и активируется цепочка заражения. Отличительной чертой атаки является использование инструмента для обфускации вредоносного ПО BatCloak, а также ScrubCrypt для доставки вредоносов в виде обфусцированных пакетных скриптов, пишут в Securitylab. BatCloak, который находится в открытой продаже на теневых форумах с конца 2022 года, основан на инструменте Jlaive. Его основная функция — загрузка следующего этапа полезной нагрузки таким образом, чтобы обойти традиционные механизмы обнаружения. Криптер ScrubCrypt, впервые задокументированный исследователями в марте 2023 года, также считается одной из итераций BatCloak. В последней кампании, проанализированной специалистами, вышеупомянутый SVG-файл служит каналом для передачи ZIP-архива, содержащего пакетный скрипт, вероятно, созданный с использованием BatCloak. Скрипт затем распаковывает пакетный файл ScrubCrypt для окончательного запуска Venom RAT, но не раньше, чем настроит постоянство в системе и предпримет шаги для обхода AMSI и ETW защиты. Venom RAT, который является ответвлением от Quasar RAT, позволяет злоумышленникам контролировать заражённые системы, собирать конфиденциальную информацию и выполнять команды, получаемые от сервера управления. «Основная программа Venom RAT может показаться простой, но она поддерживает каналы связи с C2-сервером для получения дополнительных плагинов, расширяя возможный перечень вредоносных действий», — говорит исследователь безопасности Кара Лин. Также с помощью системы плагинов доставляется инфостилер, собирающий информацию о системе и эксфильтрующий данные из папок, связанных с криптокошельками и приложениями, такими как Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty, Zcash, Foxmail и Telegram. «Наш анализ выявляет сложную атаку, использующую многоуровневые методы обфускации и уклонения для распространения и выполнения VenomRAT через ScrubCrypt», — добавляет Лин.