BatCloak FUD malware
A Trend Micro kutatói elemezték a BatCloak-ot, egy teljesen észlelhetetlen (Fully UnDetectable – FUD) rosszindulatú programokat elrejtő motort, amelyet a fenyegetés szereplői 2022 szeptembere óta használnak rosszindulatú programjaikhoz. A szakértők által elemzett minták figyelemre méltó képességet mutattak a rosszindulatú szoftverek azonosítására szolgáló eszközök elkerülésére. Annyira, hogy a kutatók szerint a visszakeresett minták 80%-ánál nulla észlelés történt a biztonsági megoldásokból. A szakértők által használt 784-es mintacsoport átlagos észlelési aránya egynél kisebb volt.
A BatCloak motor a Jlaive nevű FUD építő készlet része volt, amely 2022-ben kezdett el terjedni. A Jlaive repository elemzése feltárta a fejlesztő (ch2sh) fejlesztéseit a FUD technológiák terén. A fejlesztők AES titkosítást alkalmaztak, és további olyan technikákat, amelyekkel megkerülték a kártevő-ellenőrző felületet (Anti-Malware Scan Interface – AMSI).
2022 szeptemberében eltávolították a nyílt forráskódú eszközt tartalmazó adattárat, de azóta más fenyegetés szereplők klónozták és módosították. A kutatók felfedezték, hogy a módosított verziók és klónok a Jlaive-t egyszeri szolgáltatásként kínálták a klasszikus előfizetéses modell helyett.
Ezeket a módosított vagy klónozott Jlaive-verziókat is rendszeresen eltávolítják a GitHubról és a GitLabról, de a fenyegetések szereplői továbbra is megosztják azokat, és bizonyos esetekben a fejlesztőcsapat más nyelvekre, például a Rust-ra is portolták.