Плащ летучей мыши: движок для обфускации помогает скрыть вредоносы

Плащ летучей мыши: движок для обфускации помогает скрыть вредоносы

Плащ летучей мыши: движок для обфускации помогает скрыть вредоносы

Киберпреступники добились определённых успехов с помощью движка для обфускации вредоносных программ — BatCloak. Атаки с его использованием фиксируются с сентября 2022 года и позволяют зловредам обойти защитные системы.

На эксплуатацию BatCloak обратили внимание специалисты компании Trend Micro. По их словам, движок позволяет злоумышленникам с лёгкостью загружать множество семплов вредоносов и эксплойтов в виде качественно обфусцированных пакетных файлов.

Около 79,6% от 784 изученных образцов не детектируются ни одним антивирусным движком. Такие результаты как раз наглядно демонстрируют возможности BatCloak по части обхода защитных систем.

По своей сути BatCloak является основой готового билдера пакетных файлов — Jlaive, способного обходить Antimalware Scan Interface (AMSI), а также сжимать и шифровать основной пейлоад.

В сентябре 2022 года пользователь GitHub и GitLab под ником ch2sh рекламировал этот инструмент в качестве «преобразователя EXE в BAT». Поскольку исходный код был общедоступен, ряд разработчиков доработали и перенесли его на язык Rust.

 

Конечный пейлоад обрабатывается с помощью трёх уровней: пакетного загрузчика, лоадеров C# и PowerShell. В этом случае пакетный загрузчик выступает как отправная точка для расшифровки и распаковки каждой ступени и извлечения скрытого вредоноса.

Эксперты отмечают, что BatCloak за время своего существования получил ряд важных обновлений и адаптаций. Последнюю на данный момент версию — ScrubCrypt — команда Fortinet FortiGuard Labs связывает с операцией криптоджекинга от группировки 8220.

Российский браузер Восток обещает открыть Рунет без танцев с сертификатами

В реестре отечественного ПО появился новый браузер «Восток». Его создатели обещают избавить пользователей от вечной головной боли с российскими сертификатами. Компания «Борей Технологии» сообщила, что интернет-обозреватель, разработанный совместно с «Адвилабс-Рус», официально включен в реестр российского программного обеспечения.

Продукт ориентирован как на корпоративный сектор, так и на обычных пользователей.

Главная фишка новинки — встроенная поддержка сразу двух миров. Браузер умеет работать как с российскими криптографическими алгоритмами и отечественными сертификатами, так и с международным протоколом TLS.

По задумке разработчиков, это позволит без дополнительных настроек открывать и российские государственные сервисы, и зарубежные сайты.

Проблема хорошо знакома многим пользователям: браузеры на базе Chromium не доверяют корневым сертификатам российских удостоверяющих центров, из-за чего некоторые сайты открываются с предупреждениями или вовсе отказываются работать. В «Востоке» обещают решить этот вопрос из коробки.

Интересно и другое: несмотря на привычное доминирование Chromium, новый браузер построен на базе Firefox. По словам разработчиков, все используемые библиотеки были заново собраны, а лишний тестовый код удалён.

Генеральный директор «Борей Технологии» Виктор Макин утверждает, что «Восток» стал первым браузером общего назначения на базе Firefox, который одновременно поддерживает российские криптографические алгоритмы и международные стандарты шифрования, не используя Chromium.

На этом планы компании не заканчиваются. В будущем разработчики намерены выпустить мобильную версию браузера, а также сборку для Windows.

RSS: Новости на портале Anti-Malware.ru