„BabbleLoader“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa

Versti į:

Kibernetinio saugumo ekspertai nustatė naują, labai slaptą grėsmę, žinomą kaip BabbleLoader, kuri buvo pastebėta naudojant informacijos vagystės priemones, tokias kaip White S nake ir Meduza .

„BabbleLoader“ naudoja pažangią vengimo taktiką, pasižyminčią tvirtais gynybos mechanizmais, leidžiančiais apeiti antivirusines programas ir smėlio dėžės aplinkas. Jo paskirtis yra įkelti stealerius tiesiai į atmintį. Ataskaitose nurodoma, kad „BabbleLoader“ buvo naudojama keliose kampanijose, skirtose angliškai ir rusakalbei auditorijai. Šios operacijos daugiausia orientuotos į vartotojus, ieškančius nulaužtos programinės įrangos, ir verslo profesionalams, atliekantiems finansų ir administravimo vaidmenis, prisidengiančius apskaitos programine įranga.

Turinys

Krovinių vaidmuo kenkėjiškų programų atakose

Krautuvai tapo plačiai naudojamu metodu diegti tokias grėsmes, kaip vagystės ir išpirkos reikalaujančios programos, dažnai naudojamos kaip pradinė atakos fazė. Jie skirti išvengti tradicinio antivirusinio aptikimo, integruojant plačias antianalizės ir antismėlio dėžės technologijas.

Ši tendencija akivaizdi, nes pastaraisiais metais nuolat atsiranda naujų krautuvų šeimų. Pavyzdžiui, Dolphin Loader, Emmental, FakeBat ir Hijack Loader , kurie buvo panaudoti platinant įvairius naudingus krovinius, įskaitant CryptBot , Lumma Stealer , SectopRAT , SmokeLoader ir Ursnif .

„BabbleLoader“ aprūpinta daugybe vengimo būdų

„BabbleLoader“ išsiskiria sudėtingomis vengimo technikomis, kurios gali apgauti ir tradicines, ir dirbtinio intelekto pagrįstas aptikimo sistemas. Šie metodai apima nepageidaujamo kodo naudojimą ir metamorfines transformacijas, kurios pakeičia įkroviklio struktūrą ir vykdymo srautą, kad būtų išvengta parašu pagrįstos ir elgesio analizės.

Įkroviklis išvengia statinės analizės, nes svarbiausias funkcijas išsprendžia tik vykdymo metu ir taiko priemones, kad sutrukdytų smėlio dėžės tyrimams. Be to, jame yra per daug beprasmiško kodo, skirto užblokuoti ir sugadinti išmontavimo ar dekompiliavimo įrankius, tokius kaip IDA, Ghidra ir Binary Ninja, todėl reikia rankinio analizės.

Kiekviena „BabbleLoader“ iteracija yra unikaliai sukurta, joje yra skirtingos eilutės, metaduomenys, kodas, maišos, šifravimo metodai ir valdymo srautai. Nors atskiri pavyzdžiai dalijasi minimaliais kodo fragmentais, jų struktūros daugiausia yra unikalios. Net failo metaduomenys atsitiktinai suskirstomi į dar labiau neaiškius modelius.

Šis nuolatinis kintamumas verčia dirbtinio intelekto aptikimo modelius nuolat prisitaikyti, todėl dėl greitų ir nenuspėjamų krautuvo konstrukcijos pakeitimų dažnai nepavyksta aptikti arba gauti klaidingi teigiami rezultatai.

„BabbleLoader“ atveria kelią tolesniam sistemų kompromisui

„BabbleLoader“ esmė yra skirta įkelti apvalkalo kodą, kuris vėliau iššifruoja ir pateikia „Donut“ įkroviklį, kuris išpakuoja ir suaktyvina vagių kenkėjišką programą.

Kuo efektyviau krautuvai gali apsaugoti galutinę naudingąją apkrovą, tuo mažiau išteklių užpuolikams reikia investuoti į besikeičiančią pažeistą infrastruktūrą. „BabbleLoader“ taiko įvairius metodus, kad apsisaugotų nuo aptikimo, kad galėtų išlikti konkurencinga perpildytoje įkrovimo ir šifravimo programoje.