BabbleLoader rosszindulatú program

Mezo -ra Malware-ben

Fordítás ide:

A kiberbiztonsági szakértők egy új, BabbleLoader néven ismert, nagyon rejtett fenyegetést azonosítottak, amelyről megfigyelték, hogy olyan információlopó eszközöket telepít, mint a White S nake és a Meduza .

A BabbleLoader fejlett kijátszási taktikákat alkalmaz, robusztus védelmi mechanizmusokkal a víruskereső programok és a sandbox környezetek megkerülésére. Célja, hogy a lopókat közvetlenül a memóriába töltse be. A jelentések azt mutatják, hogy a BabbleLoader-t több, angol és orosz nyelvű közönséget célzó kampányban használták. Ezek a műveletek elsősorban a feltört szoftvereket kereső felhasználókra, valamint pénzügyi és adminisztratív szerepköröket betöltő üzleti szakemberekre összpontosítanak, akik könyvelési szoftvernek álcázzák magukat.

Tartalomjegyzék

A betöltők szerepe a rosszindulatú támadásokban

A betöltők széles körben használt módszerré váltak olyan fenyegetések, például lopók és zsarolóprogramok telepítésére, amelyek gyakran a támadás kezdeti fázisaként szolgálnak. Úgy tervezték őket, hogy elkerüljék a hagyományos vírusészlelést a kiterjedt anti-analízis és a homokozó elleni technikák integrálásával.

Ez a tendencia jól látható az elmúlt években folyamatosan új rakodócsaládok megjelenésében. Ilyen például a Dolphin Loader, az Emmental, a FakeBat és a Hijack Loader , amelyeket különféle hasznos terhelések terjesztésére használnak fel, köztük a CryptBot , a Lumma Stealer , a SectopRAT , a SmokeLoader és az Ursnif .

A BabbleLoader számos kijátszási technikával van felszerelve

A BabbleLoader kiemelkedik kifinomult kijátszási technikáival, amelyek megtéveszthetik a hagyományos és az AI-vezérelt észlelési rendszereket is. Ezek a módszerek közé tartozik a kéretlen kód és a metamorf transzformációk használata, amelyek megváltoztatják a betöltő szerkezetét és végrehajtási folyamatát, hogy megkerüljék az aláírás-alapú és viselkedéselemzéseket.

A betöltő elkerüli a statikus elemzést azáltal, hogy a kritikus funkciókat csak futás közben oldja meg, és intézkedéseket alkalmaz a sandbox-alapú vizsgálatok meghiúsítására. Ezenkívül túl sok értelmetlen kódot tartalmaz, amelyeket arra terveztek, hogy túlterheljék és összeomlják a szétszedő vagy dekompiláló eszközöket, mint például az IDA, a Ghidra és a Binary Ninja, ami manuális elemzést tesz szükségessé.

A BabbleLoader minden iterációja egyedileg van kialakítva, és külön karakterláncokat, metaadatokat, kódot, kivonatokat, titkosítási módszereket és vezérlőfolyamatokat tartalmaz. Míg az egyes minták minimális kódrészletet használnak, szerkezetük többnyire egyedi. Még a fájlok metaadatait is véletlenszerűen a rendszer a további homályos minták érdekében.

Ez a folyamatos változás arra kényszeríti az AI-észlelő modelleket, hogy folyamatosan alkalmazkodjanak, ami gyakran kihagyott észleléseket vagy téves pozitív eredményeket eredményez a rakodó tervezésében bekövetkezett gyors és előre nem látható változások miatt.

A BabbleLoader utat nyit a rendszerek további kompromisszumához

Lényegében a BabbleLoader egy shellkód betöltésére szolgál, amely ezt követően visszafejti, és egy Donut betöltőt szállít, amely aztán kicsomagolja és aktiválja a lopó kártevőt.

Minél hatékonyabban tudják megvédeni a betöltők a végső hasznos terheket, annál kevesebb erőforrást kell a támadóknak befektetni a veszélyeztetett infrastruktúra forgatásába. A BabbleLoader különféle technikákat alkalmaz, hogy megvédje magát az észleléstől, lehetővé téve, hogy versenyképes maradjon a zsúfolt betöltő és titkosító környezetben.