Atacantes estão utilizando ferramentas de ofuscação para entregar malware multifase através de phishing temático de faturas. Os e-mails de phishing vêm com anexos em formato de arquivo SVG (Scalable Vector Graphics), que ativam a sequência de infecção.
Os pesquisadores destacaram o uso do motor de ofuscação de malware BatCloak e do ScrubCrypt para entregar o malware em scripts batch ofuscados. BatCloak, disponível para venda desde o final de 2022, baseia-se em outra ferramenta chamada Jlaive. Sua característica principal é carregar um payload da próxima fase de maneira que evite mecanismos de detecção tradicionais.
ScrubCrypt, um crypter documentado pela primeira vez em março de 2023 em conexão com uma campanha de cryptojacking orquestrada pelo Gang 8220, é considerado uma das iterações do BatCloak. Na campanha analisada, o arquivo SVG serve como um meio para soltar um arquivo ZIP que contém um script batch criado provavelmente usando BatCloak.
Este script, por sua vez, descompacta o arquivo batch do ScrubCrypt para executar o Venom RAT, além de estabelecer persistência no host e tomar medidas para contornar proteções AMSI e ETW. Essa análise revela um ataque sofisticado que utiliza múltiplas camadas de ofuscação e técnicas de evasão para distribuir e executar o VenomRAT via ScrubCrypt.
Os atacantes empregam uma variedade de métodos, incluindo e-mails de phishing com anexos maliciosos, arquivos de script ofuscados e Guloader PowerShell, para infiltrar e comprometer sistemas de vítimas.
Fonte: https://boletimsec.com.br/ataque-sofisticado-usa-ofuscacao-para-entregar-malware-via-phishing/