Zlonamerna programska oprema BabbleLoader

Do leta Mezo leta Zlonamerna programska oprema

Prevedi v:

Strokovnjaki za kibernetsko varnost so identificirali novo, zelo prikrito grožnjo, znano kot BabbleLoader, ki je bila opažena pri uvajanju orodij za krajo informacij, kot sta White S nake in Meduza .

BabbleLoader uporablja napredne taktike izogibanja, ki vključujejo robustne obrambne mehanizme za obhod protivirusnih programov in okolij peskovnika. Njegov namen je nalaganje kradljivcev neposredno v pomnilnik. Poročila kažejo, da je bil BabbleLoader uporabljen v več kampanjah, ki ciljajo na angleško in rusko govoreče občinstvo. Te operacije se osredotočajo predvsem na uporabnike, ki iščejo zlomljeno programsko opremo, in poslovne strokovnjake v finančnih in upravnih vlogah, ki se preoblečejo v računovodsko programsko opremo.

Kazalo

Vloga nalagalcev pri napadih zlonamerne programske opreme

Nalagalniki so postali pogosto uporabljena metoda za uvajanje groženj, kot so kraji in izsiljevalska programska oprema, ki pogosto služijo kot začetna faza napada. Zasnovani so tako, da se izognejo tradicionalnemu zaznavanju protivirusnih programov z integracijo obsežnih tehnik protianalize in zaščite pred peskovnikom.

Ta trend je očiten v nenehnem pojavljanju novih družin nakladalnikov v zadnjih letih. Primeri vključujejo Dolphin Loader, Emmental, FakeBat in Hijack Loader , ki so bili uporabljeni za distribucijo različnih tovorov, vključno s CryptBot , Lumma Stealer , SectopRAT , SmokeLoader in Ursnif .

BabbleLoader je opremljen s številnimi tehnikami izogibanja

BabbleLoader izstopa zaradi svojih sofisticiranih tehnik izogibanja, ki lahko zavedejo tako tradicionalne kot sisteme za zaznavanje, ki jih poganja AI. Te metode vključujejo uporabo neželene kode in metamorfnih transformacij, ki spremenijo strukturo nalagalnika in tok izvajanja, da se izognejo analizam, ki temeljijo na podpisu, in analizam vedenja.

Nalagalnik se izogne statični analizi tako, da razreši kritične funkcije samo med izvajanjem in uporabi ukrepe za preprečitev pregledov, ki temeljijo na peskovniku. Poleg tega vključuje prevelike količine nesmiselne kode, zasnovane tako, da preobremeni in zruši orodja za razstavljanje ali dekompilacijo, kot so IDA, Ghidra in Binary Ninja, zaradi česar je potrebna ročna analiza.

Vsaka ponovitev BabbleLoaderja je edinstveno oblikovana in vključuje različne nize, metapodatke, kodo, zgoščene vrednosti, metode šifriranja in tokove nadzora. Medtem ko si posamezni vzorci delijo minimalne delčke kode, so njihove strukture večinoma edinstvene. Tudi metapodatki datoteke so naključno razvrščeni v nadaljnje prikrite vzorce.

Ta nenehna sprememba prisili modele zaznavanja AI k nenehnemu prilagajanju, kar pogosto povzroči zgrešena zaznavanja ali lažne pozitivne rezultate zaradi hitrih in nepredvidljivih sprememb v zasnovi nakladalnika.

BabbleLoader utira pot nadaljnjim kompromisom sistemov

V svojem jedru je BabbleLoader zasnovan za nalaganje lupinske kode, ki nato dešifrira in dostavi nalagalnik krofov, ki nato razpakira in aktivira zlonamerno programsko opremo.

Čim bolj učinkovito lahko nakladalniki zaščitijo končne obremenitve, tem manj virov morajo napadalci vložiti v menjavo ogrožene infrastrukture. BabbleLoader uporablja različne tehnike, da se zaščiti pred odkrivanjem, kar mu omogoča, da ostane konkurenčen v prenatrpanem okolju nakladalnikov in kriptorjev.