Malware BabbleLoader

Până în Mezo în Programe malware

Tradu in:

Experții în securitate cibernetică au identificat o nouă amenințare, extrem de secretă, cunoscută sub numele de BabbleLoader, care a fost observată utilizând instrumente de furt de informații precum White S nake și Meduza .

BabbleLoader folosește tactici avansate de evaziune, oferind mecanisme robuste de apărare pentru a ocoli programele antivirus și mediile sandbox. Scopul său este de a încărca hoți direct în memorie. Rapoartele indică faptul că BabbleLoader a fost utilizat în mai multe campanii care vizează publicul vorbitor de limbă engleză și rusă. Aceste operațiuni se concentrează în primul rând pe utilizatorii care caută software spart și pe profesioniști în afaceri în roluri financiare și administrative, deghându-se în software de contabilitate.

Cuprins

Rolul încărcărilor în atacurile malware

Încărcătoarele au devenit o metodă utilizată pe scară largă pentru implementarea amenințărilor precum furturi și ransomware, servind adesea ca fază inițială a unui atac. Sunt concepute pentru a evita detectarea antivirus tradițională prin integrarea unor tehnici extinse de anti-analiza și anti-sandboxing.

Această tendință este evidentă în apariția continuă a noilor familii de încărcătoare în ultimii ani. Exemplele includ Dolphin Loader, Emmental, FakeBat și Hijack Loader , care au fost utilizate pentru a distribui diferite încărcături utile, inclusiv CryptBot , Lumma Stealer , SectopRAT , SmokeLoader și Ursnif .

BabbleLoader este echipat cu numeroase tehnici de evaziune

BabbleLoader se remarcă prin tehnicile sale sofisticate de evaziune, care pot înșela atât sistemele de detectare tradiționale, cât și bazate pe inteligență artificială. Aceste metode includ utilizarea codului nedorit și a transformărilor metamorfice, care modifică structura încărctorului și fluxul de execuție pentru a ocoli analizele comportamentale și bazate pe semnături.

Încărcătorul evită analiza statică prin rezolvarea funcțiilor critice numai în timpul rulării și folosește măsuri pentru a împiedica examinările bazate pe sandbox. În plus, încorporează cantități excesive de cod fără sens, conceput pentru a copleși și a bloca instrumente de dezasamblare sau decompilare precum IDA, Ghidra și Binary Ninja, necesitând analiză manuală.

Fiecare iterație a BabbleLoader este creată în mod unic, oferind șiruri distincte, metadate, cod, hashe-uri, metode de criptare și fluxuri de control. În timp ce mostrele individuale partajează fragmente de cod minime, structurile lor sunt în principal unice. Chiar și metadatele fișierelor sunt randomizate pentru modele mai obscure.

Această variație continuă obligă modelele de detectare AI să se adapteze în mod constant, rezultând adesea în detecții ratate sau fals pozitive din cauza schimbărilor rapide și imprevizibile ale designului încărcătoarei.

BabbleLoader deschide calea pentru un compromis suplimentar al sistemelor

În esență, BabbleLoader este conceput pentru a încărca un cod shell care ulterior decriptează și furnizează un încărcător Donut, care apoi despachetează și activează malware-ul furator.

Cu cât încărcătoarele pot proteja mai eficient încărcările finale, cu atât mai puține resurse trebuie să investească atacatorii în infrastructura compromisă rotativă. BabbleLoader folosește diverse tehnici pentru a se proteja de detectare, permițându-i să rămână competitiv în peisajul aglomerat de încărcători și criptare.