Зловреден софтуер BabbleLoader

Превод на:

Експертите по киберсигурност са идентифицирали нова, силно скрита заплаха, известна като BabbleLoader, която е наблюдавана при внедряване на инструменти за кражба на информация като White S nake и Meduza .

BabbleLoader използва усъвършенствани тактики за избягване, включващи стабилни защитни механизми за заобикаляне на антивирусни програми и пясъчни среди. Целта му е да зарежда крадци директно в паметта. Докладите показват, че BabbleLoader е бил използван в множество кампании, насочени към англоговорящи и рускоговорящи аудитории. Тези операции се фокусират предимно върху потребители, търсещи кракнат софтуер и бизнес професионалисти с финансови и административни роли, маскирайки се като счетоводен софтуер.

Съдържание

Ролята на зареждащите програми в атаките на зловреден софтуер

Зареждащите устройства са се превърнали в широко използван метод за внедряване на заплахи като крадци и рансъмуер, често служещи като начална фаза на атака. Те са проектирани да избегнат традиционното антивирусно откриване чрез интегриране на обширни техники за анти-анализ и анти-sandboxing.

Тази тенденция е очевидна в непрекъснатото появяване на нови семейства товарачи през последните години. Примерите включват Dolphin Loader, Emmental, FakeBat и Hijack Loader , които са използвани за разпространение на различни полезни товари, включително CryptBot , Lumma Stealer , SectopRAT , SmokeLoader и Ursnif .

BabbleLoader е оборудван с множество техники за избягване

BabbleLoader се откроява благодарение на своите усъвършенствани техники за избягване, които могат да измамят както традиционните, така и управляваните от AI системи за откриване. Тези методи включват използването на нежелан код и метаморфни трансформации, които променят структурата на зареждащия механизъм и потока на изпълнение, за да заобиколят анализите, базирани на подписи и поведенчески анализи.

Товарачът избягва статичния анализ, като разрешава критични функции само по време на изпълнение и използва мерки за осуетяване на тестове, базирани на пясъчник. Освен това, той включва прекомерни количества безсмислен код, предназначен да претовари и срине инструменти за разглобяване или декомпилиране като IDA, Ghidra и Binary Ninja, което налага ръчен анализ.

Всяка итерация на BabbleLoader е уникално изработена, включваща различни низове, метаданни, код, хешове, методи за криптиране и контролни потоци. Докато отделните проби споделят минимални кодови фрагменти, техните структури са предимно уникални. Дори файловите метаданни са рандомизирани към допълнителни неясни модели.

Тази непрекъсната вариация принуждава моделите за откриване на AI постоянно да се адаптират, което често води до пропуснати откривания или фалшиви положителни резултати поради бързите и непредсказуеми промени в дизайна на товарача.

BabbleLoader проправя пътя за по-нататъшен компромис на системите

В основата си BabbleLoader е проектиран да зарежда shellcode, който впоследствие декриптира и доставя Donut loader, който след това разопакова и активира зловреден софтуер крадец.

Колкото по-ефективно зареждащите устройства могат да защитят крайните полезни натоварвания, толкова по-малко ресурси трябва да инвестират атакуващите във въртене на компрометирана инфраструктура. BabbleLoader използва различни техники, за да се предпази от откриване, което му позволява да остане конкурентоспособен в претъпкания зареждащ и криптиращ пейзаж.