Malware BabbleLoader

Entro Mezo nel Malware

Traduci in:

Gli esperti di sicurezza informatica hanno identificato una nuova minaccia altamente occulta nota come BabbleLoader, che è stata osservata mentre distribuiva strumenti per il furto di informazioni come White Snake e Meduza .

BabbleLoader impiega tattiche di evasione avanzate, caratterizzate da solidi meccanismi di difesa per aggirare programmi antivirus e ambienti sandbox. Il suo scopo è caricare gli stealer direttamente nella memoria. I report indicano che BabbleLoader è stato utilizzato in molteplici campagne mirate a un pubblico di lingua inglese e russa. Queste operazioni si concentrano principalmente su utenti alla ricerca di software craccato e professionisti aziendali in ruoli amministrativi e finanziari, che si camuffano da software di contabilità.

Sommario

Il ruolo dei loader negli attacchi malware

I loader sono diventati un metodo ampiamente utilizzato per distribuire minacce come stealer e ransomware, spesso fungendo da fase iniziale di un attacco. Sono progettati per eludere il rilevamento antivirus tradizionale integrando tecniche anti-analisi e anti-sandboxing estese.

Questa tendenza è evidente nella continua comparsa di nuove famiglie di loader negli ultimi anni. Esempi includono Dolphin Loader, Emmental, FakeBat e Hijack Loader , che sono stati sfruttati per distribuire vari payload, tra cui CryptBot , Lumma Stealer , SectopRAT , SmokeLoader e Ursnif .

BabbleLoader è dotato di numerose tecniche di evasione

BabbleLoader si distingue per le sue sofisticate tecniche di evasione, che possono ingannare sia i sistemi di rilevamento tradizionali che quelli basati sull'intelligenza artificiale. Questi metodi includono l'uso di codice spazzatura e trasformazioni metamorfiche, che alterano la struttura e il flusso di esecuzione del loader per bypassare le analisi basate sulla firma e comportamentali.

Il loader evita l'analisi statica risolvendo le funzioni critiche solo in fase di esecuzione e impiega misure per ostacolare gli esami basati su sandbox. Inoltre, incorpora quantità eccessive di codice senza senso, progettato per sopraffare e bloccare strumenti di disassemblaggio o decompilazione come IDA, Ghidra e Binary Ninja, rendendo necessaria l'analisi manuale.

Ogni iterazione di BabbleLoader è realizzata in modo unico, con stringhe, metadati, codice, hash, metodi di crittografia e flussi di controllo distinti. Mentre i singoli campioni condividono frammenti di codice minimi, le loro strutture sono principalmente uniche. Anche i metadati dei file sono randomizzati per oscurare ulteriormente i pattern.

Questa continua variazione costringe i modelli di rilevamento dell'intelligenza artificiale ad adattarsi costantemente, con il risultato spesso di rilevamenti mancati o falsi positivi dovuti ai rapidi e imprevedibili cambiamenti nella progettazione del caricatore.

BabbleLoader apre la strada a ulteriori compromessi dei sistemi

In sostanza, BabbleLoader è progettato per caricare uno shellcode che successivamente decifra e fornisce un caricatore Donut, il quale poi decomprime e attiva il malware stealer.

Più efficacemente i loader riescono a proteggere i payload finali, meno risorse devono investire gli aggressori nella rotazione delle infrastrutture compromesse. BabbleLoader impiega varie tecniche per proteggersi dal rilevamento, il che gli consente di rimanere competitivo nell'affollato panorama dei loader e dei crypter.