بدافزار BabbleLoader

کارشناسان امنیت سایبری تهدیدی جدید و بسیار مخفی به نام BabbleLoader را شناسایی کرده اند که با استفاده از ابزارهای سرقت اطلاعات مانند White S nake و Meduza مشاهده شده است.

BabbleLoader از تاکتیک‌های پیشرفته فرار استفاده می‌کند که دارای مکانیسم‌های دفاعی قوی برای دور زدن برنامه‌های آنتی‌ویروس و محیط‌های sandbox است. هدف آن بارگذاری مستقیم دزدها در حافظه است. گزارش ها نشان می دهد که BabbleLoader در کمپین های متعددی که مخاطبان انگلیسی و روسی زبان را هدف قرار می دهند، استفاده شده است. این عملیات عمدتاً بر روی کاربرانی که در جستجوی نرم‌افزارهای کرک شده و متخصصان تجاری در نقش‌های مالی و اداری هستند، تمرکز می‌کنند و خود را به عنوان نرم‌افزار حسابداری پنهان می‌کنند.

نقش لودرها در حملات بدافزار

لودرها به روشی پرکاربرد برای استقرار تهدیدهایی مانند دزدها و باج افزارها تبدیل شده اند که اغلب به عنوان مرحله اولیه حمله عمل می کنند. آنها برای فرار از تشخیص آنتی ویروس سنتی با ادغام تکنیک های گسترده ضد تجزیه و تحلیل و ضد سندباکس طراحی شده اند.

این روند در ظهور مداوم خانواده‌های لودر جدید در سال‌های اخیر مشهود است. به عنوان مثال می توان به Dolphin Loader، Emmental، FakeBat و Hijack Loader اشاره کرد که برای توزیع بارهای مختلف از جمله CryptBot ، Lumma Stealer ، SectopRAT ، SmokeLoader و Ursnif استفاده شده است.

BabbleLoader مجهز به تکنیک های متعدد فرار است

BabbleLoader به دلیل تکنیک‌های پیچیده فرار خود متمایز است که می‌تواند سیستم‌های تشخیص سنتی و مبتنی بر هوش مصنوعی را فریب دهد. این روش‌ها شامل استفاده از کدهای ناخواسته و تبدیل‌های دگرگونی است که ساختار و جریان اجرای لودر را تغییر می‌دهد تا تحلیل‌های مبتنی بر امضا و رفتار را دور بزند.

لودر با حل توابع حیاتی فقط در زمان اجرا از تجزیه و تحلیل استاتیک جلوگیری می کند و از اقداماتی برای خنثی کردن بررسی های مبتنی بر جعبه شنی استفاده می کند. علاوه بر این، مقادیر بیش از حد کد بی معنی را در خود جای داده است که برای از بین بردن و از کار افتادن ابزارهای جداسازی یا کامپایل سازی مانند IDA، Ghidra و Binary Ninja طراحی شده است که نیاز به تجزیه و تحلیل دستی دارد.

هر تکرار BabbleLoader به طور منحصربه‌فرد ساخته می‌شود و دارای رشته‌های متمایز، ابرداده، کد، هش، روش‌های رمزگذاری و جریان‌های کنترلی است. در حالی که نمونه های منفرد کمترین قطعه کد را به اشتراک می گذارند، ساختار آنها عمدتا منحصر به فرد است. حتی ابرداده فایل به الگوهای مبهم بیشتر تصادفی می شود.

این تغییرات مداوم، مدل‌های تشخیص هوش مصنوعی را مجبور می‌کند تا دائماً سازگار شوند، که اغلب به دلیل تغییرات سریع و غیرقابل پیش‌بینی در طراحی لودر، تشخیص‌های از دست رفته یا مثبت کاذب را به همراه دارد.

BabbleLoader راه را برای به خطر انداختن بیشتر سیستم ها هموار می کند

در هسته خود، BabbleLoader برای بارگذاری یک کد پوسته طراحی شده است که متعاقباً یک Donut loader را رمزگشایی و تحویل می دهد، که سپس بدافزار دزد را باز کرده و فعال می کند.

هر چه لودرها بتوانند به طور موثرتری از محموله های نهایی محافظت کنند، مهاجمان به منابع کمتری برای سرمایه گذاری در زیرساخت های در معرض خطر دوار نیاز دارند. BabbleLoader از تکنیک های مختلفی برای محافظت از خود در برابر تشخیص استفاده می کند و به آن اجازه می دهد در فضای شلوغ لودر و رمزارز رقابتی باقی بماند.

بدافزار BabbleLoader ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .