Kampanye malware baru telah diamati memanfaatkan taktik rekayasa sosial untuk memberikan rootkit open-source yang disebut R77.
Aktivitas, dikutuk Tidak jelas#kelelawar Oleh Securonix, memungkinkan para aktor ancaman untuk membangun ketekunan dan menghindari deteksi pada sistem yang dikompromikan. Saat ini tidak diketahui siapa yang berada di belakang kampanye.
Rootkit “memiliki kemampuan untuk menyelimuti atau menutupi file apa pun, kunci registri atau tugas yang dimulai dengan awalan tertentu,” kata peneliti keamanan Den Iuzvyk dan Tim Peck dalam sebuah laporan yang dibagikan dengan Hacker News. “Telah menargetkan pengguna dengan menyamar sebagai unduhan perangkat lunak yang sah atau melalui penipuan rekayasa sosial captcha palsu.”
Kampanye ini dirancang untuk menargetkan individu berbahasa Inggris, khususnya Amerika Serikat, Kanada, Jerman, dan Inggris.
Obscure#Bat mendapatkan namanya dari fakta bahwa titik awal serangan adalah skrip batch Windows yang dikaburkan yang, pada gilirannya, mengeksekusi perintah PowerShell untuk mengaktifkan proses multi-tahap yang memuncak dalam penyebaran rootkit.
Setidaknya dua rute akses awal yang berbeda telah diidentifikasi untuk membuat pengguna menjalankan skrip batch berbahaya: satu yang menggunakan strategi clickfix terkenal dengan mengarahkan pengguna ke halaman verifikasi captcha cloudflare palsu dan metode kedua yang menggunakan iklan malware sebagai alat yang sah seperti browser Tor, perangkat lunak VoIP, dan klien pesan.
Meskipun tidak jelas bagaimana pengguna terpikat ke perangkat lunak yang terjebak booby, diduga melibatkan pendekatan yang telah dicoba dan diuji seperti keracunan pengoptimalan mesin atau pengoptimalan mesin pencari (SEO).
Terlepas dari metode yang digunakan, muatan tahap pertama adalah arsip yang berisi skrip batch, yang kemudian meminta perintah PowerShell untuk menjatuhkan skrip tambahan, membuat modifikasi Registry Windows, dan mengatur tugas yang dijadwalkan untuk kegigihan.
“Malware menyimpan skrip yang mengaburkan skrip di Windows Registry dan memastikan eksekusi melalui tugas yang dijadwalkan, yang memungkinkannya berjalan secara diam -diam di latar belakang,” kata para peneliti. “Selain itu, ini memodifikasi tombol registri sistem untuk mendaftarkan driver palsu (acpix86.sys), lebih lanjut menanamkan dirinya ke dalam sistem.”
Diperahkan selama serangan itu adalah muatan .NET yang menggunakan sejumlah trik untuk menghindari deteksi. Ini termasuk kebingungan aliran kontrol, enkripsi string, dan menggunakan nama fungsi yang mencampur karakter Arab, Cina, dan khusus.
Payload lain yang dimuat melalui PowerShell adalah yang dapat dieksekusi yang memanfaatkan antarmuka pemindaian antimalware (AMSI) penambalan untuk memotong deteksi antivirus.
Payload .NET pada akhirnya bertanggung jawab untuk menjatuhkan rootkit mode sistem bernama “acpix86.sys” ke dalam folder “C: \ Windows \ System32 \ driver \”, yang kemudian diluncurkan sebagai layanan. Juga dikirim adalah rootkit mode pengguna yang disebut R77 untuk menyiapkan kegigihan pada host dan menyembunyikan file, proses, dan kunci registri yang cocok dengan pola ($ NYA-).
Malware lebih lanjut secara berkala memantau aktivitas clipboard dan riwayat perintah dan menyimpannya ke dalam file tersembunyi untuk kemungkinan eksfiltrasi.
“Tidak jelas#Bat menunjukkan rantai serangan yang sangat mengelak, memanfaatkan kebingungan, teknik siluman, dan pengait API untuk bertahan pada sistem yang dikompromikan sambil menghindari deteksi,” kata para peneliti.
“Dari eksekusi awal skrip batch yang dikaburkan (install.bat) hingga penciptaan tugas yang dijadwalkan dan skrip yang disimpan registri, malware memastikan kegigihan bahkan setelah reboot. Dengan menyuntikkan ke dalam proses sistem kritis seperti Winlogon.exe, ia memanipulasi perilaku proses untuk lebih menyulitkan deteksi.”
Temuan ini datang sebagai Cofense merinci kampanye spoofing Microsoft Copilot yang menggunakan email phishing untuk membawa pengguna ke halaman arahan palsu untuk asisten buatan (AI) yang direkayasa untuk memanen kredensial pengguna dan kode dua faktor otentikasi (2FA).
