BabbleLoader Malware

Med Mezo i Malware

Oversæt til:

Cybersikkerhedseksperter har identificeret en ny, meget skjult trussel kendt som BabbleLoader, som er blevet observeret ved at implementere informationstjælende værktøjer som White S nake og Meduza .

BabbleLoader anvender avancerede undvigelsestaktikker, der byder på robuste forsvarsmekanismer til at omgå antivirusprogrammer og sandkassemiljøer. Dens formål er at indlæse tyvere direkte i hukommelsen. Rapporter viser, at BabbleLoader er blevet brugt i flere kampagner rettet mod engelsk- og russisktalende målgrupper. Disse operationer fokuserer primært på brugere, der søger efter cracket software, og forretningsfolk i finansielle og administrative roller, der forklæder sig som regnskabssoftware.

Indholdsfortegnelse

Indlæsernes rolle i malwareangreb

Loaders er blevet en udbredt metode til at implementere trusler såsom tyvere og ransomware, der ofte fungerer som den indledende fase af et angreb. De er designet til at undgå traditionel antivirus-detektion ved at integrere omfattende anti-analyse- og anti-sandboxing-teknikker.

Denne tendens er tydelig i den fortsatte fremkomst af nye læsserfamilier i de senere år. Eksempler inkluderer Dolphin Loader, Emmental, FakeBat og Hijack Loader , som er blevet udnyttet til at distribuere forskellige nyttelaster, herunder CryptBot , Lumma Stealer , SectopRAT , SmokeLoader og Ursnif .

BabbleLoader er udstyret med adskillige undvigelsesteknikker

BabbleLoader skiller sig ud på grund af sine sofistikerede unddragelsesteknikker, som kan bedrage både traditionelle og AI-drevne detektionssystemer. Disse metoder omfatter brugen af uønsket kode og metamorfe transformationer, som ændrer loaderens struktur og udførelsesflow for at omgå signaturbaserede og adfærdsmæssige analyser.

Indlæseren undgår statisk analyse ved kun at løse kritiske funktioner under kørsel og anvender foranstaltninger til at forhindre sandkassebaserede undersøgelser. Derudover inkorporerer det store mængder meningsløs kode, designet til at overvælde og nedbryde demonterings- eller dekompileringsværktøjer som IDA, Ghidra og Binary Ninja, hvilket nødvendiggør manuel analyse.

Hver iteration af BabbleLoader er unikt udformet og byder på forskellige strenge, metadata, kode, hashes, krypteringsmetoder og kontrolflows. Mens individuelle prøver deler minimale kodestykker, er deres strukturer hovedsageligt unikke. Selv filmetadata er randomiseret for yderligere at skjule mønstre.

Denne kontinuerlige variation tvinger AI-detektionsmodeller til konstant at tilpasse sig, hvilket ofte resulterer i mistede detektioner eller falske positiver på grund af de hurtige og uforudsigelige ændringer i læsserens design.

BabbleLoader baner vejen for yderligere kompromittering af systemer

I sin kerne er BabbleLoader designet til at indlæse en shell-kode, der efterfølgende dekrypterer og leverer en Donut-indlæser, som derefter pakker ud og aktiverer tyverens malware.

Jo mere effektivt indlæsere kan beskytte den endelige nyttelast, jo færre ressourcer skal angriberne investere i roterende kompromitteret infrastruktur. BabbleLoader anvender forskellige teknikker til at beskytte sig selv mod detektion, hvilket gør det muligt for den at forblive konkurrencedygtig i det overfyldte loader- og krypteringslandskab.