FUD BatCloak Engine: capace di evadere ai principali antivirus
BatCloak: il nuovo motore di offuscamento che batte l’80% degli Antivirus
I ricercatori di Trend Micro hanno riferito in un recente rapporto che dal settembre 2022 gli aggressori utilizzano attivamente un motore di offuscamento del malware chiamato BatCloak, che consente ai criminali informatici di nascondere efficacemente il codice dannoso dalle soluzioni antivirus.
Che cos'è il malware?
Il termine malware indica qualsiasi tipo di software creato per danneggiare o sfruttare altri componenti software o hardware. Contrazione di "malicious software" (software dannoso), malware è un termine collettivo utilizzato per descrivere virus, ransomware, spyware, Trojan e qualsiasi altro tipo di codice o software creato con intenti dannosi.
È proprio l'intento dannoso a caratterizzare la definizione di malware: lo scopo del malware è il danno che può infliggere a un computer, un sistema informatico, un server o una rete. Sono le modalità e i motivi che distinguono un tipo di malware dall'altro.
Secondo gli esperti, con BatCloak gli aggressori possono facilmente scaricare diverse famiglie di malware. Dei 784 malware trovati, quasi l’80% non è stato rilevato da nessuno dei motori antivirus.
BatCloak è la base per uno strumento di creazione di programmi chiamato Jlaive che può aggirare l’Antimalware Scan Interface (L’interfaccia di scansione Antimalware) e comprimere e crittografare i programmi malevoli principale per aumentare i livelli di evasione.
Lo strumento Jlaive è stato pubblicato su dei siti di pubblico dominio nel settembre 2022 da uno sviluppatore con lo pseudonimo di ch2sh. Da allora è stato copiato, modificato e portato in altri linguaggi di programmazione.
BatCloak ha ricevuto molti aggiornamenti e adattamenti da quando è apparso per la prima volta. La sua ultima versione si chiama ScrubCrypt è stata isolata dagli esperti di Fortinet durante un’indagine.
“La decisione di passare da un framework aperto a uno chiuso, presa dallo sviluppatore ScrubCrypt, può essere spiegata dai risultati di progetti precedenti, come Jlaive, nonché dal desiderio di monetizzare il progetto e proteggerlo dalla copia non autorizzata”, suggerirono gli esperti di Trend Micro.
In informatica, un framework è un sistema che consente di estendere le funzionalità del linguaggio di programmazione su cui è basato, fornendo allo sviluppatore una struttura coerente ed efficace al fine di effettuare azioni e comandi in modo semplice e veloce.
In sostanza, si può definire un framework come un insieme di funzioni e tool già “pronti all’uso”, ovvero che si possono utilizzare senza doverli progettare da zero ogni volta.
“L’evoluzione di BatCloak evidenzia la flessibilità e l’adattabilità di questo motore ed evidenzia lo sviluppo di offuscatori”, hanno concluso i ricercatori.
Come Mitigare questa minaccia?
Per mitigare il rischio, bisogna effettuare l’aggiornamento costante della definizione dei rilevamenti sul programma di protezione che si usa. Occorre adottare, di volta in volta, i nuovi indicatori di compromissione che i ricercatori rilasciano pubblicamente.
Comments