Oprogramowanie złośliwe BabbleLoader

Przetłumacz na:

Eksperci ds. cyberbezpieczeństwa zidentyfikowali nowe, wysoce ukryte zagrożenie znane jako BabbleLoader, które, jak zaobserwowano, wykorzystuje narzędzia służące do kradzieży informacji, takie jak White S nake i Meduza .

BabbleLoader stosuje zaawansowane taktyki unikania, oferując solidne mechanizmy obronne, aby ominąć programy antywirusowe i środowiska piaskownicy. Jego celem jest ładowanie złodziei bezpośrednio do pamięci. Raporty wskazują, że BabbleLoader był wykorzystywany w wielu kampaniach skierowanych do odbiorców anglojęzycznych i rosyjskojęzycznych. Operacje te koncentrują się przede wszystkim na użytkownikach poszukujących zhakowanego oprogramowania i profesjonalistach biznesowych w rolach finansowych i administracyjnych, maskujących się jako oprogramowanie księgowe.

Spis treści

Rola ładowarek w atakach złośliwego oprogramowania

Ładowarki stały się szeroko stosowaną metodą wdrażania zagrożeń, takich jak stealerzy i ransomware, często służąc jako początkowa faza ataku. Zostały zaprojektowane tak, aby uniknąć tradycyjnego wykrywania antywirusowego poprzez integrację rozległych technik antyanalizy i antysandboxingu.

Ten trend jest widoczny w ciągłym pojawianiu się nowych rodzin ładowarek w ostatnich latach. Przykłady obejmują Dolphin Loader, Emmental, FakeBat i Hijack Loader , które zostały wykorzystane do dystrybucji różnych ładunków, w tym CryptBot , Lumma Stealer , SectopRAT , SmokeLoader i Ursnif .

BabbleLoader jest wyposażony w liczne techniki unikania

BabbleLoader wyróżnia się wyrafinowanymi technikami unikania, które mogą oszukać zarówno tradycyjne, jak i oparte na sztucznej inteligencji systemy wykrywania. Metody te obejmują wykorzystanie śmieciowego kodu i transformacji metamorficznych, które zmieniają strukturę i przepływ wykonywania programu ładującego, aby ominąć analizy oparte na sygnaturach i analizach behawioralnych.

Ładowarka unika analizy statycznej, rozwiązując krytyczne funkcje tylko w czasie wykonywania i stosuje środki w celu udaremnienia badań opartych na piaskownicy. Ponadto zawiera nadmierne ilości bezsensownego kodu, zaprojektowanego tak, aby przytłoczyć i zawiesić narzędzia do demontażu lub dekompilacji, takie jak IDA, Ghidra i Binary Ninja, co wymaga ręcznej analizy.

Każda iteracja BabbleLoader jest unikalnie stworzona, zawiera odrębne ciągi, metadane, kod, skróty, metody szyfrowania i przepływy sterowania. Podczas gdy poszczególne próbki mają minimalne fragmenty kodu, ich struktury są w większości unikalne. Nawet metadane plików są losowe, aby jeszcze bardziej zaciemnić wzorce.

Ciągła zmienność zmusza modele wykrywania AI do nieustannego dostosowywania się, co często skutkuje przegapionymi wykryciami lub fałszywymi wynikami pozytywnymi ze względu na szybkie i nieprzewidywalne zmiany w projekcie ładowarki.

BabbleLoader otwiera drogę do dalszego naruszania systemów

W swojej istocie BabbleLoader został zaprojektowany tak, aby załadować kod powłoki, który następnie odszyfrowuje i dostarcza program ładujący Donut, który następnie rozpakowuje i aktywuje złośliwe oprogramowanie.

Im skuteczniej ładowarki mogą chronić ostateczne ładunki, tym mniej zasobów atakujący muszą zainwestować w rotacyjną zagrożoną infrastrukturę. BabbleLoader wykorzystuje różne techniki, aby chronić się przed wykryciem, co pozwala mu pozostać konkurencyjnym w zatłoczonym krajobrazie ładowarek i kryptografów.