Malware BabbleLoader

Do Mezo. Malware. godine

Prevedi na:

Stručnjaci za kibernetičku sigurnost identificirali su novu, vrlo tajnu prijetnju poznatu kao BabbleLoader, koja je primijećena kako koristi alate za krađu informacija kao što su White S nake i Meduza .

BabbleLoader koristi napredne taktike izbjegavanja, sa snažnim obrambenim mehanizmima za zaobilaženje antivirusnih programa i pješčanih okruženja. Njegova je svrha učitavanje stealera izravno u memoriju. Izvješća pokazuju da je BabbleLoader korišten u više kampanja koje ciljaju publiku koja govori engleski i ruski jezik. Ove operacije prvenstveno su usredotočene na korisnike koji traže krekirani softver i poslovne stručnjake u financijama i administrativnim ulogama, prerušavajući se u računovodstveni softver.

Sadržaj

Uloga učitavača u napadima zlonamjernog softvera

Učitavači su postali naširoko korištena metoda za postavljanje prijetnji kao što su kradljivci i ransomware, a često služe kao početna faza napada. Osmišljeni su da izbjegnu tradicionalnu antivirusnu detekciju integracijom opsežne anti-analize i anti-sandboxing tehnika.

Ovaj trend je vidljiv u stalnoj pojavi novih obitelji utovarivača tijekom posljednjih godina. Primjeri uključuju Dolphin Loader, Emmental, FakeBat i Hijack Loader , koji su iskorišteni za distribuciju različitih korisnih opterećenja, uključujući CryptBot , Lumma Stealer , SectopRAT , SmokeLoader i Ursnif .

BabbleLoader je opremljen brojnim tehnikama izbjegavanja

BabbleLoader se ističe po svojim sofisticiranim tehnikama izbjegavanja, koje mogu prevariti i tradicionalne i sustave detekcije vođene umjetnom inteligencijom. Ove metode uključuju korištenje bezvrijednog koda i metamorfnih transformacija, koje mijenjaju strukturu učitavača i tok izvršavanja kako bi se zaobišle analize temeljene na potpisu i analize ponašanja.

Učitavač izbjegava statičku analizu rješavanjem kritičnih funkcija samo tijekom izvođenja i primjenjuje mjere za sprječavanje ispitivanja temeljenih na sandboxu. Dodatno, uključuje prekomjerne količine besmislenog koda, dizajniranog da zatrpa i sruši alate za rastavljanje ili dekompilaciju kao što su IDA, Ghidra i Binary Ninja, zbog čega je potrebna ručna analiza.

Svaka iteracija BabbleLoadera jedinstveno je izrađena, sadrži različite nizove, metapodatke, kod, hashove, metode šifriranja i tokove kontrole. Dok pojedinačni uzorci dijele minimalne isječke koda, njihove su strukture uglavnom jedinstvene. Čak su i metapodaci datoteka nasumično raspoređeni u daljnje nejasne obrasce.

Ova kontinuirana varijacija prisiljava modele AI detekcije na stalnu prilagodbu, što često rezultira propuštenim detekcijama ili lažno pozitivnim rezultatima zbog brzih i nepredvidivih promjena u dizajnu učitavača.

BabbleLoader utire put daljnjem kompromisu sustava

U svojoj jezgri, BabbleLoader je dizajniran za učitavanje shellcodea koji naknadno dekriptira i isporučuje Donut loader, koji zatim raspakira i aktivira zlonamjerni softver koji krade.

Što učitavači mogu učinkovitije zaštititi konačna korisna opterećenja, to manje resursa napadači moraju uložiti u rotiranje ugrožene infrastrukture. BabbleLoader koristi različite tehnike kako bi se zaštitio od otkrivanja, što mu omogućuje da ostane konkurentan u pretrpanom okruženju učitavača i kriptora.