Вредоносное ПО BabbleLoader

К Mezo году в Вредоносное ПО году

Перевести на:

Эксперты по кибербезопасности выявили новую, крайне скрытую угрозу, известную как BabbleLoader, которая, как было замечено, использует такие инструменты для кражи информации , как White Snake и Meduza .

BabbleLoader использует передовые тактики уклонения, включающие надежные механизмы защиты для обхода антивирусных программ и песочниц. Его цель — загружать краденные программы непосредственно в память. Отчеты показывают, что BabbleLoader использовался в нескольких кампаниях, нацеленных на англо- и русскоязычную аудиторию. Эти операции в основном нацелены на пользователей, ищущих взломанное программное обеспечение, и бизнес-профессионалов в сфере финансов и администрирования, маскирующихся под бухгалтерское программное обеспечение.

Оглавление

Роль загрузчиков в атаках вредоносного ПО

Загрузчики стали широко используемым методом развертывания угроз, таких как крадники и программы-вымогатели, часто выступая в качестве начальной фазы атаки. Они разработаны для обхода обнаружения традиционными антивирусами путем интеграции обширных методов антианализа и антипесочницы.

Эта тенденция очевидна в постоянном появлении новых семейств загрузчиков в последние годы. Примерами служат Dolphin Loader, Emmental, FakeBat и Hijack Loader , которые использовались для распространения различных полезных нагрузок, включая CryptBot , Lumma Stealer , SectopRAT , SmokeLoader и Ursnif .

BabbleLoader оснащен многочисленными приемами уклонения

BabbleLoader выделяется своими сложными методами уклонения, которые могут обмануть как традиционные, так и основанные на ИИ системы обнаружения. Эти методы включают использование мусорного кода и метаморфических преобразований, которые изменяют структуру загрузчика и поток выполнения, чтобы обойти сигнатурный и поведенческий анализ.

Загрузчик избегает статического анализа, разрешая критические функции только во время выполнения, и применяет меры для предотвращения проверок на основе песочницы. Кроме того, он включает чрезмерное количество бессмысленного кода, предназначенного для перегрузки и сбоя инструментов дизассемблирования или декомпиляции, таких как IDA, Ghidra и Binary Ninja, что требует ручного анализа.

Каждая итерация BabbleLoader создана по-своему, содержит отдельные строки, метаданные, код, хэши, методы шифрования и потоки управления. Хотя отдельные образцы разделяют минимальные фрагменты кода, их структуры в основном уникальны. Даже метаданные файлов рандомизированы для дальнейшего скрытия шаблонов.

Эти непрерывные изменения заставляют модели обнаружения ИИ постоянно адаптироваться, что часто приводит к пропускам обнаружения или ложным срабатываниям из-за быстрых и непредсказуемых изменений в конструкции загрузчика.

BabbleLoader прокладывает путь к дальнейшей компрометации систем

По своей сути BabbleLoader предназначен для загрузки шелл-кода, который впоследствии расшифровывает и доставляет загрузчик Donut, который затем распаковывает и активирует вредоносное ПО-кральщик.

Чем эффективнее загрузчики могут защитить конечные полезные нагрузки, тем меньше ресурсов злоумышленникам нужно вкладывать в ротацию скомпрометированной инфраструктуры. BabbleLoader использует различные методы, чтобы защитить себя от обнаружения, что позволяет ему оставаться конкурентоспособным в переполненном ландшафте загрузчиков и криптеров.