Специалисты обнаружили сложную атаку, использующую фишинговые сообщения для распространения RAT-троянов и инфостилеров, ворующих криптовалюты

По данным исследователей Fortinet, злоумышленники отправляют электронные письма с вложениями в формате Scalable Vector Graphics (SVG). При открытии таких файлов и активируется цепочка заражения.

Отличительной чертой атаки является использование инструмента для обфускации вредоносного ПО BatCloak, а также ScrubCrypt для доставки вредоносов в виде обфусцированных пакетных скриптов, пишут в Securitylab.

BatCloak, который находится в открытой продаже на теневых форумах с конца 2022 года, основан на инструменте Jlaive. Его основная функция — загрузка следующего этапа полезной нагрузки таким образом, чтобы обойти традиционные механизмы обнаружения. Криптер ScrubCrypt, впервые задокументированный исследователями в марте 2023 года, также считается одной из итераций BatCloak.

В последней кампании, проанализированной специалистами, вышеупомянутый SVG-файл служит каналом для передачи ZIP-архива, содержащего пакетный скрипт, вероятно, созданный с использованием BatCloak. Скрипт затем распаковывает пакетный файл ScrubCrypt для окончательного запуска Venom RAT, но не раньше, чем настроит постоянство в системе и предпримет шаги для обхода AMSI и ETW защиты.

Venom RAT, который является ответвлением от Quasar RAT, позволяет злоумышленникам контролировать заражённые системы, собирать конфиденциальную информацию и выполнять команды, получаемые от сервера управления.

«Основная программа Venom RAT может показаться простой, но она поддерживает каналы связи с C2-сервером для получения дополнительных плагинов, расширяя возможный перечень вредоносных действий», — говорит исследователь безопасности Кара Лин.

Также с помощью системы плагинов доставляется инфостилер, собирающий информацию о системе и эксфильтрующий данные из папок, связанных с криптокошельками и приложениями, такими как Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty, Zcash, Foxmail и Telegram.

«Наш анализ выявляет сложную атаку, использующую многоуровневые методы обфускации и уклонения для распространения и выполнения VenomRAT через ScrubCrypt», — добавляет Лин.