BabbleLoader skadelig programvare

Med Mezo i Skadelig programvare

Oversett til:

Eksperter på nettsikkerhet har identifisert en ny, svært skjult trussel kjent som BabbleLoader, som har blitt observert ved å bruke verktøy for å stjele informasjon som White S nake og Meduza .

BabbleLoader bruker avanserte unnvikelsestaktikker, med robuste forsvarsmekanismer for å omgå antivirusprogrammer og sandkassemiljøer. Hensikten er å laste stjelere direkte inn i minnet. Rapporter indikerer at BabbleLoader har blitt brukt i flere kampanjer rettet mot engelsk- og russisktalende målgrupper. Disse operasjonene fokuserer først og fremst på brukere som søker etter sprukket programvare og forretningsfolk i finans- og administrative roller, forkledd seg som regnskapsprogramvare.

Innholdsfortegnelse

Rollen til lastere i skadelig programvareangrep

Lastere har blitt en mye brukt metode for å distribuere trusler som tyvere og løsepengeprogramvare, og fungerer ofte som den innledende fasen av et angrep. De er designet for å unngå tradisjonell antivirusdeteksjon ved å integrere omfattende antianalyse- og anti-sandboxing-teknikker.

Denne trenden er tydelig i den kontinuerlige fremveksten av nye lasterfamilier de siste årene. Eksempler inkluderer Dolphin Loader, Emmental, FakeBat og Hijack Loader , som har blitt utnyttet til å distribuere forskjellige nyttelaster, inkludert CryptBot , Lumma Stealer , SectopRAT , SmokeLoader og Ursnif .

BabbleLoader er utstyrt med en rekke unnvikelsesteknikker

BabbleLoader skiller seg ut på grunn av sine sofistikerte unnvikelsesteknikker, som kan lure både tradisjonelle og AI-drevne deteksjonssystemer. Disse metodene inkluderer bruk av søppelkode og metamorfe transformasjoner, som endrer lasterens struktur og utførelsesflyt for å omgå signaturbaserte og atferdsanalyser.

Lasteren unngår statisk analyse ved å løse kritiske funksjoner kun under kjøring og bruker tiltak for å hindre sandkassebaserte undersøkelser. I tillegg inneholder den store mengder meningsløs kode, designet for å overvelde og krasje demonterings- eller dekompileringsverktøy som IDA, Ghidra og Binary Ninja, noe som krever manuell analyse.

Hver iterasjon av BabbleLoader er unikt laget, med distinkte strenger, metadata, kode, hasher, krypteringsmetoder og kontrollflyter. Mens individuelle prøver deler minimale kodebiter, er strukturene deres hovedsakelig unike. Til og med filmetadata er randomisert til ytterligere obskure mønstre.

Denne kontinuerlige variasjonen tvinger AI-deteksjonsmodeller til konstant å tilpasse seg, noe som ofte resulterer i tapte deteksjoner eller falske positiver på grunn av de raske og uforutsigbare endringene i lasterens design.

BabbleLoader baner vei for ytterligere kompromisser av systemer

I kjernen er BabbleLoader designet for å laste en shellcode som deretter dekrypterer og leverer en Donut-laster, som deretter pakker ut og aktiverer tyverens skadevare.

Jo mer effektivt lastere kan beskytte de endelige nyttelastene, jo færre ressurser trenger angripere å investere i roterende kompromittert infrastruktur. BabbleLoader bruker ulike teknikker for å beskytte seg mot deteksjon, slik at den kan forbli konkurransedyktig i det overfylte laste- og krypteringslandskapet.