Κακόβουλο λογισμικό BabbleLoader
Οι ειδικοί στον τομέα της κυβερνοασφάλειας εντόπισαν μια νέα, άκρως κρυφή απειλή γνωστή ως BabbleLoader, η οποία έχει παρατηρηθεί να αναπτύσσει εργαλεία κλοπής πληροφοριών όπως το White S nake και το Meduza .
Το BabbleLoader χρησιμοποιεί προηγμένες τακτικές αποφυγής, με ισχυρούς αμυντικούς μηχανισμούς για την παράκαμψη προγραμμάτων προστασίας από ιούς και περιβάλλοντα sandbox. Σκοπός του είναι να φορτώσει τους κλέφτες απευθείας στη μνήμη. Οι αναφορές δείχνουν ότι το BabbleLoader έχει χρησιμοποιηθεί σε πολλές καμπάνιες που στοχεύουν αγγλόφωνο και ρωσόφωνο κοινό. Αυτές οι λειτουργίες επικεντρώνονται κυρίως σε χρήστες που αναζητούν σπασμένο λογισμικό και επαγγελματίες επαγγελματίες σε χρηματοοικονομικούς και διοικητικούς ρόλους, μεταμφιεσμένοι σε λογισμικό λογιστικής.
Πίνακας περιεχομένων
Ο ρόλος των φορτωτών στις επιθέσεις κακόβουλου λογισμικού
Οι φορτωτές έχουν γίνει μια ευρέως χρησιμοποιούμενη μέθοδος για την ανάπτυξη απειλών όπως κλέφτες και ransomware, που συχνά χρησιμεύουν ως η αρχική φάση μιας επίθεσης. Έχουν σχεδιαστεί για να αποφεύγουν τον παραδοσιακό εντοπισμό προστασίας από ιούς ενσωματώνοντας εκτεταμένες τεχνικές αντι-ανάλυσης και anti-boxing.
Αυτή η τάση είναι εμφανής στη συνεχή εμφάνιση νέων οικογενειών φορτωτών τα τελευταία χρόνια. Παραδείγματα περιλαμβάνουν τα Dolphin Loader, Emmental, FakeBat και Hijack Loader , τα οποία έχουν χρησιμοποιηθεί για τη διανομή διαφόρων ωφέλιμων φορτίων, συμπεριλαμβανομένων των CryptBot , Lumma Stealer , SectopRAT , SmokeLoader και Ursnif .
Το BabbleLoader είναι εξοπλισμένο με πολυάριθμες τεχνικές αποφυγής
Το BabbleLoader ξεχωρίζει λόγω των εξελιγμένων τεχνικών αποφυγής του, οι οποίες μπορούν να εξαπατήσουν τόσο τα παραδοσιακά όσο και τα συστήματα ανίχνευσης που βασίζονται σε AI. Αυτές οι μέθοδοι περιλαμβάνουν τη χρήση ανεπιθύμητου κώδικα και μεταμορφωτικών μετασχηματισμών, οι οποίοι αλλάζουν τη δομή και τη ροή εκτέλεσης του φορτωτή για να παρακάμψουν αναλύσεις που βασίζονται σε υπογραφές και αναλύσεις συμπεριφοράς.
Ο φορτωτής αποφεύγει τη στατική ανάλυση επιλύοντας κρίσιμες συναρτήσεις μόνο κατά το χρόνο εκτέλεσης και χρησιμοποιεί μέτρα για να αποτρέψει τις εξετάσεις που βασίζονται σε sandbox. Επιπλέον, ενσωματώνει υπερβολικές ποσότητες κώδικα χωρίς νόημα, που έχει σχεδιαστεί για να κατακλύζει και να διακόπτει τα εργαλεία αποσυναρμολόγησης ή αποσυμπίλησης όπως το IDA, το Ghidra και το Binary Ninja, κάτι που απαιτεί χειροκίνητη ανάλυση.
Κάθε επανάληψη του BabbleLoader δημιουργείται μοναδικά, με διακριτές συμβολοσειρές, μεταδεδομένα, κώδικα, κατακερματισμούς, μεθόδους κρυπτογράφησης και ροές ελέγχου. Ενώ τα μεμονωμένα δείγματα μοιράζονται ελάχιστα αποσπάσματα κώδικα, οι δομές τους είναι κυρίως μοναδικές. Ακόμη και τα μεταδεδομένα αρχείων τυχαιοποιούνται σε περαιτέρω σκοτεινά μοτίβα.
Αυτή η συνεχής διακύμανση αναγκάζει τα μοντέλα ανίχνευσης τεχνητής νοημοσύνης να προσαρμόζονται συνεχώς, με αποτέλεσμα συχνά χαμένες ανιχνεύσεις ή ψευδώς θετικά αποτελέσματα λόγω των γρήγορων και απρόβλεπτων αλλαγών στη σχεδίαση του φορτωτή.
Το BabbleLoader ανοίγει τον δρόμο για περαιτέρω συμβιβασμό των συστημάτων
Στον πυρήνα του, το BabbleLoader έχει σχεδιαστεί για να φορτώνει έναν κώδικα κελύφους που στη συνέχεια αποκρυπτογραφεί και παραδίδει έναν φορτωτή Donut, ο οποίος στη συνέχεια αποσυσκευάζει και ενεργοποιεί το κακόβουλο λογισμικό κλοπής.
Όσο πιο αποτελεσματικά μπορούν οι φορτωτές να προστατεύσουν τα τελικά ωφέλιμα φορτία, τόσο λιγότερους πόρους χρειάζονται οι επιτιθέμενοι για να επενδύσουν σε περιστρεφόμενη παραβιασμένη υποδομή. Το BabbleLoader χρησιμοποιεί διάφορες τεχνικές για να προστατεύεται από την ανίχνευση, επιτρέποντάς του να παραμένει ανταγωνιστικό στο πολυσύχναστο τοπίο φορτωτή και κρυπτογράφησης.
Κακόβουλο λογισμικό BabbleLoader βίντεο
Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .
