برنامج BabbleLoader الخبيث

ترجمة الى:

تمكن خبراء الأمن السيبراني من تحديد تهديد جديد وخفي للغاية يُعرف باسم BabbleLoader، والذي لوحظ أنه ينشر أدوات سرقة المعلومات مثل White Snake و Meduza .

يستخدم BabbleLoader تكتيكات التهرب المتقدمة، التي تتميز بآليات دفاع قوية لتجاوز برامج مكافحة الفيروسات وبيئات الحماية. والغرض من ذلك هو تحميل البرامج الضارة مباشرة في الذاكرة. وتشير التقارير إلى أن BabbleLoader تم استخدامه في حملات متعددة تستهدف الجمهور الناطق باللغة الإنجليزية والروسية. وتركز هذه العمليات في المقام الأول على المستخدمين الذين يبحثون عن برامج مقرصنة ومحترفي الأعمال في الأدوار المالية والإدارية، متخفين في هيئة برامج محاسبية.

جدول المحتويات

دور المحملات في هجمات البرامج الضارة

أصبحت أدوات التحميل طريقة مستخدمة على نطاق واسع لنشر التهديدات مثل برامج السرقة وبرامج الفدية، وغالبًا ما تعمل كمرحلة أولية للهجوم. وهي مصممة للتهرب من الكشف عن الفيروسات التقليدية من خلال دمج تقنيات التحليل المضاد الشامل ومكافحة الحماية.

يتضح هذا الاتجاه في الظهور المستمر لعائلات جديدة من برامج التحميل على مدار السنوات الأخيرة. ومن الأمثلة على ذلك Dolphin Loader وEmmental و FakeBat و Hijack Loader ، والتي تم الاستفادة منها لتوزيع حمولات مختلفة، بما في ذلك CryptBot و Lumma Stealer و SectopRAT و SmokeLoader و Ursnif .

تم تجهيز BabbleLoader بالعديد من تقنيات التهرب

تتميز BabbleLoader بتقنيات التهرب المتطورة التي يمكنها خداع أنظمة الكشف التقليدية والقائمة على الذكاء الاصطناعي. تتضمن هذه الأساليب استخدام التعليمات البرمجية غير المرغوب فيها والتحويلات المتحولة، والتي تعمل على تغيير بنية المحمل وتدفق التنفيذ لتجاوز التحليلات القائمة على التوقيع والسلوك.

يتجنب المحمل التحليل الثابت من خلال حل الوظائف الحرجة فقط في وقت التشغيل ويستخدم تدابير لإحباط الفحوصات القائمة على بيئة الاختبار. بالإضافة إلى ذلك، فإنه يتضمن كميات مفرطة من التعليمات البرمجية عديمة المعنى، والمصممة لإرباك أدوات التفكيك أو فك التجميع مثل IDA وGhidra وBinary Ninja وتعطيلها، مما يستلزم التحليل اليدوي.

تم تصميم كل تكرار من BabbleLoader بشكل فريد، حيث يتميز بسلاسل مميزة وبيانات وصفية وأكواد وتجزئة وطرق تشفير وتدفقات تحكم. وفي حين تشترك العينات الفردية في أجزاء صغيرة من الكود، فإن هياكلها فريدة بشكل أساسي. حتى بيانات التعريف الخاصة بالملفات يتم تعديلها عشوائيًا لإخفاء الأنماط بشكل أكبر.

يفرض هذا التغيير المستمر على نماذج اكتشاف الذكاء الاصطناعي التكيف باستمرار، مما يؤدي غالبًا إلى تفويت عمليات الاكتشاف أو الحصول على نتائج إيجابية خاطئة بسبب التغييرات السريعة وغير المتوقعة في تصميم المحمل.

BabbleLoader يمهد الطريق لمزيد من الاختراق للأنظمة

في جوهره، تم تصميم BabbleLoader لتحميل shellcode الذي يقوم لاحقًا بفك تشفير وتسليم Donut loader، والذي يقوم بعد ذلك بفك ضغط البرامج الضارة السارقة وتنشيطها.

كلما زادت فعالية برامج التحميل في حماية الحمولات النهائية، قلّت الموارد التي يحتاج المهاجمون إلى استثمارها في البنية التحتية المعرضة للخطر. تستخدم BabbleLoader تقنيات مختلفة لحماية نفسها من الاكتشاف، مما يسمح لها بالبقاء قادرة على المنافسة في عالم برامج التحميل والتشفير المزدحم.