Programari maliciós BabbleLoader

El Mezo el Programari maliciós

Traduir a:

Els experts en ciberseguretat han identificat una nova amenaça altament encoberta coneguda com BabbleLoader, que s'ha observat desplegant eines de robatori d'informació com White S nake i Meduza .

BabbleLoader utilitza tàctiques d'evasió avançades, que inclouen mecanismes de defensa robustos per evitar els programes antivirus i els entorns sandbox. El seu propòsit és carregar els robadors directament a la memòria. Els informes indiquen que BabbleLoader s'ha utilitzat en diverses campanyes dirigides a públics de parla anglesa i russa. Aquestes operacions se centren principalment en usuaris que cerquen programari craquejat i professionals empresarials en funcions financeres i administratives, disfressats de programari de comptabilitat.

Taula de continguts

El paper dels carregadors en els atacs de programari maliciós

Els carregadors s'han convertit en un mètode àmpliament utilitzat per desplegar amenaces com ara robatoris i ransomware, que sovint serveixen com a fase inicial d'un atac. Estan dissenyats per evadir la detecció d'antivirus tradicional mitjançant la integració de tècniques d'antianàlisi i anti-sandboxing.

Aquesta tendència es fa evident en l'aparició contínua de noves famílies de carregadors durant els darrers anys. Alguns exemples inclouen Dolphin Loader, Emmental, FakeBat i Hijack Loader , que s'han aprofitat per distribuir diverses càrregues útils, com ara CryptBot , Lumma Stealer , SectopRAT , SmokeLoader i Ursnif .

BabbleLoader està equipat amb nombroses tècniques d’evasió

BabbleLoader destaca per les seves sofisticades tècniques d'evasió, que poden enganyar tant els sistemes de detecció tradicionals com els basats en IA. Aquests mètodes inclouen l'ús de codi brossa i transformacions metamòrfiques, que alteren l'estructura del carregador i el flux d'execució per evitar les anàlisis de comportament i basades en signatures.

El carregador evita l'anàlisi estàtica resolent funcions crítiques només en temps d'execució i utilitza mesures per frustrar els exàmens basats en sandbox. A més, incorpora quantitats excessives de codi sense sentit, dissenyat per desbordar i bloquejar eines de desmuntatge o descompilació com IDA, Ghidra i Binary Ninja, que requereixen una anàlisi manual.

Cada iteració de BabbleLoader està dissenyada de manera única, amb diferents cadenes, metadades, codi, hash, mètodes de xifratge i fluxos de control. Tot i que les mostres individuals comparteixen fragments de codi mínims, les seves estructures són principalment úniques. Fins i tot les metadades del fitxer s'analitzen a l'atzar per a més patrons foscos.

Aquesta variació contínua obliga els models de detecció d'IA a adaptar-se constantment, sovint provocant deteccions falses o falsos positius a causa dels canvis ràpids i impredictibles en el disseny del carregador.

BabbleLoader obre el camí per a un major compromís dels sistemes

En el seu nucli, BabbleLoader està dissenyat per carregar un codi d'intèrpret d'ordres que posteriorment desxifra i lliura un carregador de Donut, que després desempaqueta i activa el programari maliciós robador.

Com més eficaçment els carregadors puguin salvaguardar les càrregues útils finals, menys recursos hauran d'invertir els atacants en la rotació de la infraestructura compromesa. BabbleLoader empra diverses tècniques per protegir-se de la detecció, cosa que li permet seguir sent competitiu en l'abundància de carregadors i encriptadors.