BabbleLoader-malware

Tegen Mezo in Malware

Vertalen naar:

Cybersecurity-experts hebben een nieuwe , zeer geheime dreiging geïdentificeerd die bekendstaat als BabbleLoader. Er is waargenomen dat deze informatie-stelende tools zoals White Snake en Meduza gebruikt.

BabbleLoader gebruikt geavanceerde ontwijkingstechnieken, met robuuste verdedigingsmechanismen om antivirusprogramma's en sandboxomgevingen te omzeilen. Het doel is om stealers rechtstreeks in het geheugen te laden. Rapporten geven aan dat BabbleLoader is gebruikt in meerdere campagnes die gericht zijn op Engels- en Russischtalige doelgroepen. Deze operaties richten zich voornamelijk op gebruikers die op zoek zijn naar gekraakte software en zakelijke professionals in financiële en administratieve functies, waarbij ze zichzelf vermommen als boekhoudsoftware.

Inhoudsopgave

De rol van loaders bij malware-aanvallen

Loaders zijn een veelgebruikte methode geworden voor het inzetten van bedreigingen zoals stealers en ransomware, vaak dienend als de eerste fase van een aanval. Ze zijn ontworpen om traditionele antivirusdetectie te omzeilen door uitgebreide anti-analyse- en anti-sandboxingtechnieken te integreren.

Deze trend is duidelijk zichtbaar in de voortdurende opkomst van nieuwe loaderfamilies in de afgelopen jaren. Voorbeelden hiervan zijn de Dolphin Loader, Emmental, FakeBat en Hijack Loader , die zijn gebruikt om verschillende payloads te distribueren, waaronder CryptBot , Lumma Stealer , SectopRAT , SmokeLoader en Ursnif .

BabbleLoader is uitgerust met talloze ontwijkingstechnieken

BabbleLoader valt op door zijn geavanceerde ontwijkingstechnieken, die zowel traditionele als AI-gestuurde detectiesystemen kunnen misleiden. Deze methoden omvatten het gebruik van junkcode en metamorfe transformaties, die de structuur en uitvoeringsstroom van de loader veranderen om handtekeninggebaseerde en gedragsanalyses te omzeilen.

De loader vermijdt statische analyse door kritieke functies alleen tijdens runtime op te lossen en gebruikt maatregelen om sandbox-gebaseerde onderzoeken te dwarsbomen. Bovendien bevat het buitensporige hoeveelheden betekenisloze code, ontworpen om disassembly- of decompilatietools zoals IDA, Ghidra en Binary Ninja te overweldigen en te laten crashen, waardoor handmatige analyse noodzakelijk is.

Elke iteratie van BabbleLoader is uniek ontworpen, met verschillende strings, metadata, code, hashes, encryptiemethoden en controlestromen. Hoewel individuele samples minimale codefragmenten delen, zijn hun structuren voornamelijk uniek. Zelfs bestandsmetadata is gerandomiseerd om patronen verder te verdoezelen.

Deze voortdurende variatie dwingt AI-detectiemodellen om zich voortdurend aan te passen, wat vaak resulteert in gemiste detecties of foutpositieve resultaten vanwege de snelle en onvoorspelbare veranderingen in het ontwerp van de lader.

BabbleLoader maakt de weg vrij voor verdere aantasting van systemen

BabbleLoader is in essentie ontworpen om een shellcode te laden die vervolgens een Donut-loader decodeert en levert, die vervolgens de stealer-malware uitpakt en activeert.

Hoe effectiever loaders de uiteindelijke payloads kunnen beschermen, hoe minder middelen aanvallers hoeven te investeren in roterende gecompromitteerde infrastructuur. BabbleLoader gebruikt verschillende technieken om zichzelf te beschermen tegen detectie, waardoor het competitief kan blijven in het drukke loader- en crypterlandschap.