Malware BabbleLoader

V roce Mezo v roce Malware

Přeložit do:

Odborníci na kybernetickou bezpečnost identifikovali novou, vysoce skrytou hrozbu známou jako BabbleLoader, která byla pozorována při nasazení nástrojů ke krádežím informací, jako je White S nake a Meduza .

BabbleLoader využívá pokročilé únikové taktiky s robustními obrannými mechanismy, které obcházejí antivirové programy a prostředí sandbox. Jeho účelem je načíst zloděje přímo do paměti. Zprávy naznačují, že BabbleLoader byl použit v několika kampaních zaměřených na anglicky a rusky mluvící publikum. Tyto operace se primárně zaměřují na uživatele hledající cracknutý software a obchodní profesionály ve finančních a administrativních rolích, kteří se maskují jako účetní software.

Obsah

Role zavaděčů při malwarových útocích

Zavaděče se staly široce využívanou metodou pro nasazení hrozeb, jako jsou zloději a ransomware, často sloužící jako počáteční fáze útoku. Jsou navrženy tak, aby se vyhnuly tradiční antivirové detekci integrací rozsáhlých technik anti-analýzy a anti-sandboxingu.

Tento trend je zřejmý v neustálém vzniku nových rodin nakladačů v posledních letech. Příklady zahrnují Dolphin Loader, Emmental, FakeBat a Hijack Loader , které byly využity k distribuci různých užitečných zatížení, včetně CryptBot , Lumma Stealer , SectopRAT , SmokeLoader a Ursnif .

BabbleLoader je vybaven četnými únikovými technikami

BabbleLoader vyniká svými sofistikovanými únikovými technikami, které mohou oklamat tradiční i AI řízené detekční systémy. Tyto metody zahrnují použití nevyžádaného kódu a metamorfních transformací, které mění strukturu zavaděče a tok provádění, aby se obešly analýzy založené na signaturách a chování.

Zavaděč se vyhýbá statické analýze tím, že kritické funkce řeší pouze za běhu a využívá opatření k maření testů založených na karanténě. Navíc obsahuje nadměrné množství nesmyslného kódu navrženého tak, aby zahltil a zhroutil nástroje pro demontáž nebo dekompilaci, jako je IDA, Ghidra a Binary Ninja, což vyžaduje manuální analýzu.

Každá iterace BabbleLoaderu je jedinečně vytvořena a obsahuje odlišné řetězce, metadata, kód, hash, šifrovací metody a řídicí toky. Zatímco jednotlivé vzorky sdílejí minimální úryvky kódu, jejich struktury jsou především jedinečné. Dokonce i metadata souboru jsou náhodně rozdělena do dalších nejasných vzorů.

Tato nepřetržitá variace nutí modely detekce umělé inteligence neustále se přizpůsobovat, což často vede k chybným detekcím nebo falešným pozitivním nálezům v důsledku rychlých a nepředvídatelných změn v konstrukci nakladače.

BabbleLoader připravuje cestu pro další kompromisy v systémech

Ve svém jádru je BabbleLoader navržen tak, aby načetl kód shellu, který následně dešifruje a doručí zavaděč koblih, který pak rozbalí a aktivuje zlodějský malware.

Čím efektivněji mohou zavaděče chránit konečné užitečné zatížení, tím méně prostředků musí útočníci investovat do rotace ohrožené infrastruktury. BabbleLoader využívá různé techniky, aby se chránil před detekcí, což mu umožňuje zůstat konkurenceschopný v přeplněném prostředí nakladačů a kryptorů.