Malvér BabbleLoader

Do roku Mezo v roku Malvér

Preložiť do:

Odborníci na kybernetickú bezpečnosť identifikovali novú, vysoko skrytú hrozbu známu ako BabbleLoader, ktorá bola pozorovaná pri nasadzovaní nástrojov na kradnutie informácií, ako sú White S nake a Meduza .

BabbleLoader využíva pokročilé únikové taktiky s robustnými obrannými mechanizmami na obídenie antivírusových programov a prostredí sandbox. Jeho účelom je načítať zlodejov priamo do pamäte. Správy naznačujú, že BabbleLoader bol použitý vo viacerých kampaniach zameraných na anglicky a rusky hovoriace publikum. Tieto operácie sa primárne zameriavajú na používateľov, ktorí hľadajú cracknutý softvér, a obchodných profesionálov vo finančných a administratívnych rolách, ktorí sa maskujú ako účtovný softvér.

Obsah

Úloha nakladačov pri útokoch škodlivého softvéru

Načítače sa stali široko používanou metódou na nasadenie hrozieb, ako sú krádeže a ransomvér, ktoré často slúžia ako počiatočná fáza útoku. Sú navrhnuté tak, aby sa vyhli tradičnej antivírusovej detekcii integráciou rozsiahlych techník anti-analýzy a anti-sandboxingu.

Tento trend je evidentný v neustálom vývoji nových rodín nakladačov v posledných rokoch. Príklady zahŕňajú Dolphin Loader, Emmental, FakeBat a Hijack Loader , ktoré boli využité na distribúciu rôznych užitočných zaťažení, vrátane CryptBot , Lumma Stealer , SectopRAT , SmokeLoader a Ursnif .

BabbleLoader je vybavený množstvom únikových techník

BabbleLoader vyniká svojimi sofistikovanými únikovými technikami, ktoré dokážu oklamať tradičné aj detekčné systémy poháňané AI. Tieto metódy zahŕňajú použitie nevyžiadaného kódu a metamorfných transformácií, ktoré menia štruktúru zavádzača a tok vykonávania, aby sa obišli analýzy založené na podpisoch a správaní.

Loader sa vyhýba statickej analýze tým, že kritické funkcie rieši iba za behu a využíva opatrenia na zmarenie testov založených na karanténe. Okrem toho obsahuje nadmerné množstvo nezmyselného kódu navrhnutého tak, aby zahltil a zrútil nástroje na rozoberanie alebo dekompiláciu ako IDA, Ghidra a Binary Ninja, čo si vyžaduje manuálnu analýzu.

Každá iterácia BabbleLoader je jedinečne vytvorená a obsahuje odlišné reťazce, metaúdaje, kód, hash, metódy šifrovania a riadiace toky. Zatiaľ čo jednotlivé vzorky zdieľajú minimálne útržky kódu, ich štruktúry sú predovšetkým jedinečné. Dokonca aj metadáta súboru sú náhodne rozdelené do ďalších nejasných vzorov.

Táto nepretržitá variácia núti modely detekcie AI neustále sa prispôsobovať, čo často vedie k zmeškaným detekciám alebo falošne pozitívnym výsledkom v dôsledku rýchlych a nepredvídateľných zmien v konštrukcii nakladača.

BabbleLoader pripravuje cestu pre ďalšie kompromisy v systémoch

Vo svojom jadre je BabbleLoader navrhnutý tak, aby načítal shell kód, ktorý následne dešifruje a doručí nakladač donutov, ktorý potom rozbalí a aktivuje zlodejský malvér.

Čím efektívnejšie môžu nakladače chrániť konečné užitočné zaťaženie, tým menej zdrojov musia útočníci investovať do rotácie kompromitovanej infraštruktúry. BabbleLoader využíva rôzne techniky, aby sa chránil pred detekciou, čo mu umožňuje zostať konkurencieschopným v preplnenom prostredí nakladača a šifrovania.