Il malware OBSCURE#BAT è stato recentemente identificato come parte di una campagna malevola che sfrutta tecniche di ingegneria sociale per distribuire un rootkit open-source noto come r77. Questo malware permette agli attori delle minacce di mantenere la persistenza e sfuggire al rilevamento sui sistemi compromessi. Al momento non è chiaro chi sia dietro questa campagna di attacco informatico.

Il rootkit ha la capacità di nascondere o mascherare qualsiasi file, chiave di registro o attività che iniziano con un prefisso specifico. Secondo i ricercatori, gli attacchi sono stati mirati principalmente a utenti di lingua inglese, con particolare attenzione a Stati Uniti, Canada, Germania e Regno Unito. I metodi di attacco includono il mascheramento del malware come download di software legittimi o l'uso di truffe di ingegneria sociale tramite CAPTCHA falsi.

L'attacco inizia con uno script batch di Windows offuscato che esegue comandi PowerShell per attivare un processo in più fasi, culminando nel dispiegamento del rootkit. Sono stati identificati almeno due percorsi iniziali di accesso: un metodo che utilizza una pagina di verifica CAPTCHA di Cloudflare falsa e un altro che pubblicizza il malware come strumenti legittimi come Tor Browser, software VoIP e client di messaggistica.

Indipendentemente dal metodo utilizzato, il payload iniziale è un archivio contenente lo script batch che invoca comandi PowerShell per eseguire script aggiuntivi, modificare il Registro di sistema di Windows e impostare attività pianificate per mantenere la persistenza. Il malware archivia script offuscati nel Registro di sistema di Windows e assicura l'esecuzione tramite attività pianificate, permettendogli di funzionare in maniera invisibile in background. Modifica anche chiavi di registro del sistema per registrare un driver falso (ACPIx86.sys), integrandosi ulteriormente nel sistema.

Durante l'attacco viene distribuito un payload .NET che utilizza vari trucchi per sfuggire al rilevamento, inclusi l'offuscamento del flusso di controllo e la crittografia delle stringhe. Un altro payload è un eseguibile che utilizza il patching dell'interfaccia di scansione antimalware (AMSI) per bypassare le rilevazioni antivirus. Il payload .NET alla fine è responsabile della distribuzione di un rootkit di modalità sistema e di un rootkit di modalità utente chiamato r77, utilizzato per stabilire la persistenza sull'host e nascondere file, processi e chiavi di registro che corrispondono a un certo pattern.

OBSCURE#BAT dimostra una catena di attacco altamente evasiva, sfruttando tecniche di offuscamento e furtività per mantenere la persistenza sui sistemi compromessi. Dall'esecuzione iniziale dello script batch offuscato alla creazione di attività pianificate e script registrati, il malware garantisce la persistenza anche dopo i riavvii.