BabbleLoader Malware

Por Mezo em Malware

Traduzir Para:

Os especialistas em segurança cibernética identificaram uma nova ameaça altamente secreta conhecida como BabbleLoader, que foi observada implantando ferramentas de roubo de informações, tais como o White Snake e o Meduza.

O BabbleLoader emprega táticas avançadas de evasão, apresentando mecanismos de defesa robustos para contornar programas antivírus e ambientes de sandbox. Seu propósito é carregar ladrões diretamente na memória. Relatórios indicam que o BabbleLoader foi utilizado em várias campanhas visando públicos de língua inglesa e russa. Essas operações focam principalmente em usuários que buscam software crackeado e profissionais de negócios em funções financeiras e administrativas, disfarçando-se de software de contabilidade.

Índice

O Papel dos Loaders nos Ataques de Malware

Os loaders se tornaram um método amplamente utilizado para implantar ameaças como ladrões e ransomware, frequentemente servindo como a fase inicial de um ataque. Eles são projetados para escapar da detecção antivírus tradicional integrando técnicas extensivas de antianálise e antisandboxing.

Essa tendência é evidente no surgimento contínuo de novas famílias de carregadores nos últimos anos. Exemplos incluem o Dolphin Loader, Emmental, FakeBat e Hijack Loader, que foram alavancados para distribuir várias cargas úteis, incluindo CryptBot, Lumma Stealer, SectopRAT, SmokeLoader e Ursnif.

O BabbleLoader é Equipado com Inúmeras Técnicas de Evasão

O BabbleLoader se destaca por suas técnicas de evasão sofisticadas, que podem enganar sistemas de detecção tradicionais e controlados por IA. Esses métodos incluem o uso de código lixo e transformações metamórficas, que alteram a estrutura e o fluxo de execução do carregador para ignorar análises comportamentais e baseadas em assinatura.

O loader evita análise estática resolvendo funções críticas somente em tempo de execução e emprega medidas para frustrar exames baseados em sandbox. Além disso, ele incorpora quantidades excessivas de código sem sentido, projetado para sobrecarregar e travar ferramentas de desmontagem ou descompilação como IDA, Ghidra e Binary Ninja, necessitando de análise manual.

Cada iteração do BabbleLoader é criada exclusivamente, apresentando strings, metadados, código, hashes, métodos de criptografia e fluxos de controle distintos. Enquanto amostras individuais compartilham trechos de código mínimos, suas estruturas são principalmente únicas. Até mesmo metadados de arquivo são randomizados para padrões ainda mais obscuros.

Essa variação contínua força os modelos de detecção de IA a se adaptarem constantemente, o que geralmente resulta em detecções perdidas ou falsos positivos devido às mudanças rápidas e imprevisíveis no design do carregador.

O BabbleLoader Abre Caminho para um Maior Comprometimento dos Sistemas

Basicamente, o BabbleLoader éfoiprojetado para carregar um shellcode que posteriormente descriptografa e entrega um carregador Donut, que então descompacta e ativa o malware ladrão.

Quanto mais efetivamente os carregadores puderem proteger as cargas úteis finais, menos recursos os invasores precisarão investir na rotação da infraestrutura comprometida. O BabbleLoader emprega várias técnicas para se proteger da detecção, permitindo que ele permaneça competitivo no cenário lotado de carregadores e crypters.