תוכנה זדונית של BabbleLoader

עד Mezo ב-תוכנה זדונית

לתרגם ל:

מומחי אבטחת סייבר זיהו איום חדש וסמוי ביותר המכונה BabbleLoader, אשר נצפה פורס כלים לגניבת מידע כמו White S nake ו- Meduza .

BabbleLoader משתמש בטקטיקות התחמקות מתקדמות, הכוללות מנגנוני הגנה חזקים לעקוף תוכניות אנטי וירוס וסביבות ארגז חול. מטרתו היא לטעון גונבים ישירות לזיכרון. דיווחים מצביעים על כך ש-BabbleLoader נוצל במסעות פרסום רבים המיועדים לקהלים דוברי אנגלית ורוסית. פעולות אלו מתמקדות בעיקר במשתמשים המחפשים תוכנות פצצות ובאנשי מקצוע עסקיים בתפקידי כספים וניהול, כשהם מתחפשים לתוכנת הנהלת חשבונות.

תוכן העניינים

תפקידם של המעמיסים בהתקפות תוכנות זדוניות

מעמיסים הפכו לשיטה בשימוש נרחב לפריסת איומים כגון גונבים ותוכנות כופר, המשמשות לעתים קרובות כשלב ראשוני של מתקפה. הם נועדו להתחמק מזיהוי אנטי-וירוס מסורתי על-ידי שילוב טכניקות נרחבות של אנטי-אנליזה ואנטי-ארגז חול.

מגמה זו ניכרת בהופעתם המתמשכת של משפחות מעמיסים חדשות בשנים האחרונות. דוגמאות כוללות את Dolphin Loader, Emmental, FakeBat ו- Hijack Loader , אשר נוצלו להפצת מטענים שונים, כולל CryptBot , Lumma Stealer , SectopRAT , SmokeLoader ו- Ursnif .

BabbleLoader מצויד בטכניקות התחמקות רבות

BabbleLoader בולט בזכות טכניקות ההתחמקות המתוחכמות שלו, שיכולות להטעות מערכות זיהוי מסורתיות והן מונעות בינה מלאכותית. שיטות אלו כוללות שימוש בקוד זבל ובטרנספורמציות מטמורפיות, שמשנות את המבנה ואת זרימת הביצוע של המטען כדי לעקוף ניתוחים מבוססי חתימה והתנהגות.

המטען נמנע מניתוח סטטי על ידי פתרון פונקציות קריטיות רק בזמן ריצה ומשתמש באמצעים כדי לסכל בדיקות מבוססות ארגז חול. בנוסף, הוא משלב כמויות מוגזמות של קוד חסר משמעות, שנועד להציף ולרסק כלי פירוק או דה-קומפילציה כמו IDA, Ghidra ו-Binary Ninja, מה שמצריך ניתוח ידני.

כל איטרציה של BabbleLoader מעוצבת באופן ייחודי, וכוללת מחרוזות, מטא נתונים, קוד, גיבוב, שיטות הצפנה וזרימות בקרה ברורות. בעוד שדגימות בודדות חולקות קטעי קוד מינימליים, המבנים שלהן ייחודיים בעיקר. אפילו מטא נתונים של קבצים עוברים אקראית לדפוסים מעורפלים נוספים.

וריאציה מתמשכת זו מאלצת מודלים של זיהוי בינה מלאכותית להסתגל כל הזמן, ולעיתים קרובות גורמת לזיהוי החמצה או תוצאות חיוביות שגויות בשל השינויים המהירים והבלתי צפויים בתכנון המעמיס.

BabbleLoader סולל את הדרך להתפשרות נוספת של מערכות

בבסיסו, BabbleLoader מתוכנן לטעון קוד מעטפת שמפענח ומספק מטעין דונאט, שלאחר מכן פורק ומפעיל את התוכנה הזדונית של הגנב.

ככל שמעמיסים יכולים להגן על המטענים הסופיים בצורה יעילה יותר, כך תוקפים צריכים להשקיע פחות משאבים בתשתית שנפרצה בסיבוב. BabbleLoader משתמש בטכניקות שונות כדי להגן על עצמו מפני זיהוי, ומאפשר לו להישאר תחרותי בנוף הטעינים והקריפטרים הצפופים.