BabbleLoader-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma

Käännä:

Kyberturvallisuusasiantuntijat ovat tunnistaneet uuden, erittäin salaisen uhan, joka tunnetaan nimellä BabbleLoader, jonka on havaittu käyttävän tietoa varastavaa työkalua, kuten White S nake ja Meduza .

BabbleLoader käyttää kehittyneitä kiertotaktiikoita, jotka sisältävät vankkoja puolustusmekanismeja virustentorjuntaohjelmien ja hiekkalaatikkoympäristöjen ohittamiseksi. Sen tarkoitus on ladata stealers suoraan muistiin. Raportit osoittavat, että BabbleLoaderia on käytetty useissa kampanjoissa, jotka on kohdistettu englannin- ja venäjänkielisille yleisöille. Nämä toiminnot keskittyvät ensisijaisesti käyttäjiin, jotka etsivät murtuneita ohjelmistoja, sekä talous- ja hallintotehtävissä toimiviin liike-elämän ammattilaisiin naamioituen kirjanpitoohjelmistoksi.

Sisällysluettelo

Lataajien rooli haittaohjelmahyökkäyksissä

Loadereista on tullut laajalti käytetty menetelmä uhkien, kuten varastajien ja kiristysohjelmien, käyttöönotossa, ja ne toimivat usein hyökkäyksen alkuvaiheessa. Ne on suunniteltu välttämään perinteinen virustentorjunta integroimalla kattavat anti-analyysit ja hiekkalaatikon torjuntatekniikat.

Tämä suuntaus näkyy viime vuosina jatkuvana uusien kuormausperheiden ilmaantumisena. Esimerkkejä ovat Dolphin Loader, Emmental, FakeBat ja Hijack Loader , joita on hyödynnetty erilaisten hyötykuormien jakamiseen, mukaan lukien CryptBot , Lumma Stealer , SectopRAT , SmokeLoader ja Ursnif .

BabbleLoader on varustettu lukuisilla evaasiotekniikoilla

BabbleLoader erottuu joukosta kehittyneillä evaasiotekniikoillaan, jotka voivat pettää sekä perinteisiä että tekoälyohjattuja tunnistusjärjestelmiä. Näihin menetelmiin kuuluu roskakoodin käyttö ja metamorfiset muunnokset, jotka muuttavat lataajan rakennetta ja suoritusvirtaa ohittamaan allekirjoituspohjaiset ja käyttäytymisanalyysit.

Lataaja välttää staattisen analyysin ratkaisemalla kriittiset toiminnot vain ajon aikana ja käyttää toimenpiteitä estääkseen hiekkalaatikkopohjaiset tutkimukset. Lisäksi se sisältää liikaa merkityksetöntä koodia, joka on suunniteltu ylikuormittamaan ja kaatumaan purkamis- tai purkutyökalut, kuten IDA, Ghidra ja Binary Ninja, mikä edellyttää manuaalista analysointia.

Jokainen BabbleLoaderin iteraatio on yksilöllisesti muotoiltu, ja se sisältää erilliset merkkijonot, metatiedot, koodin, tiivisteet, salausmenetelmät ja ohjausvirrat. Vaikka yksittäisillä näytteillä on vain vähän koodinpätkiä, niiden rakenteet ovat pääosin ainutlaatuisia. Jopa tiedostojen metatiedot satunnaistetaan epäselvimmille kuvioille.

Tämä jatkuva vaihtelu pakottaa tekoälyn tunnistusmallit mukautumaan jatkuvasti, mikä johtaa usein huomaamatta jättämiseen tai vääriin positiivisiin tuloksiin kuormaimen suunnittelun nopeiden ja arvaamattomien muutosten vuoksi.

BabbleLoader tasoittaa tietä uusille järjestelmien kompromisseille

BabbleLoader on pohjimmiltaan suunniteltu lataamaan shell-koodi, joka myöhemmin purkaa salauksen ja toimittaa Donut-lataimen, joka sitten purkaa ja aktivoi varastajan haittaohjelman.

Mitä tehokkaammin kuormaajat voivat suojata lopulliset hyötykuormat, sitä vähemmän resursseja hyökkääjien on investoitava vaarantuneen infrastruktuurin kiertämiseen. BabbleLoader käyttää erilaisia tekniikoita suojatakseen itsensä havaitsemiselta, mikä mahdollistaa sen pysymisen kilpailukykyisenä ruuhkaisessa lataus- ja salausalustassa.