BabbleLoader ļaunprātīga programmatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā

Tulkot uz:

Kiberdrošības eksperti ir identificējuši jaunu, ļoti slēptu apdraudējumu, kas pazīstams ar nosaukumu BabbleLoader, kas ir novērots, izvietojot tādus informācijas zagšanas rīkus kā White S nake un Meduza .

BabbleLoader izmanto uzlabotu izvairīšanās taktiku, kas ietver spēcīgus aizsardzības mehānismus, lai apietu pretvīrusu programmas un smilškastes vidi. Tās mērķis ir ielādēt zagļus tieši atmiņā. Pārskati liecina, ka BabbleLoader ir izmantots vairākās kampaņās, kuru mērķauditorija ir angliski un krieviski runājošā auditorija. Šīs darbības galvenokārt ir vērstas uz lietotājiem, kuri meklē uzlauztu programmatūru, un biznesa profesionāļiem finanšu un administratīvās lomās, maskējoties kā grāmatvedības programmatūra.

Satura rādītājs

Iekrāvēju loma ļaunprātīgas programmatūras uzbrukumos

Iekrāvēji ir kļuvuši par plaši izmantotu metodi tādu draudu izvietošanai kā zagļi un izspiedējprogrammatūra, kas bieži vien kalpo kā uzbrukuma sākuma fāze. Tie ir izstrādāti, lai izvairītos no tradicionālās pretvīrusu noteikšanas, integrējot plašas pretanalīzes un pretsmilškastes metodes.

Šī tendence ir acīmredzama, jo pēdējos gados nepārtraukti parādās jaunas iekrāvēju ģimenes. Kā piemērus var minēt Dolphin Loader, Emmental, FakeBat un Hijack Loader , kas ir izmantotas, lai izplatītu dažādas lietderīgās slodzes, tostarp CryptBot , Lumma Stealer , SectopRAT , SmokeLoader un Ursnif .

BabbleLoader ir aprīkots ar daudzām izvairīšanās metodēm

BabbleLoader izceļas ar sarežģītām izvairīšanās metodēm, kas var maldināt gan tradicionālās, gan ar AI vadītas noteikšanas sistēmas. Šīs metodes ietver nevēlamā koda izmantošanu un metamorfiskas transformācijas, kas maina ielādētāja struktūru un izpildes plūsmu, lai apietu parakstu un uzvedības analīzi.

Iekrāvējs izvairās no statiskās analīzes, kritiskās funkcijas atrisinot tikai izpildes laikā un izmanto pasākumus, lai kavētu uz smilškastes balstītas pārbaudes. Turklāt tajā ir iekļauts pārmērīgs bezjēdzīga koda daudzums, kas paredzēts, lai pārslogotu un avarētu demontāžas vai dekompilācijas rīkus, piemēram, IDA, Ghidra un Binary Ninja, tādēļ ir nepieciešama manuāla analīze.

Katra BabbleLoader iterācija ir unikāli izstrādāta, un tajā ir atšķirīgas virknes, metadati, kods, jaucējvārdi, šifrēšanas metodes un vadības plūsmas. Lai gan atsevišķiem paraugiem ir minimāls koda fragments, to struktūras galvenokārt ir unikālas. Pat failu metadati tiek nejauši izvēlēti, lai iegūtu neskaidrākus modeļus.

Šī nepārtrauktā variācija liek mākslīgā intelekta noteikšanas modeļiem pastāvīgi pielāgoties, kā rezultātā bieži vien tiek nokavēti noteikumi vai kļūdaini pozitīvi rezultāti iekrāvēja konstrukcijas straujo un neparedzamo izmaiņu dēļ.

BabbleLoader paver ceļu turpmākam sistēmu kompromisam

Savā pamatā BabbleLoader ir paredzēts, lai ielādētu čaulas kodu, kas pēc tam atšifrē un nodrošina Donut ielādētāju, kas pēc tam izpako un aktivizē zagļa ļaunprātīgo programmatūru.

Jo efektīvāk iekrāvēji var aizsargāt galīgās kravnesības, jo mazāk resursu uzbrucējiem jāiegulda apdraudētās infrastruktūras rotēšanā. BabbleLoader izmanto dažādas metodes, lai pasargātu sevi no atklāšanas, ļaujot tai saglabāt konkurētspēju pārpildītajā ielādētāju un šifrētāju vidē.