Malware BabbleLoader

Nga Mezo në Malware

Përkthe në:

Ekspertët e sigurisë kibernetike kanë identifikuar një kërcënim të ri, shumë të fshehtë të njohur si BabbleLoader, i cili është vërejtur duke vendosur mjete për vjedhjen e informacionit si White S nake dhe Meduza .

BabbleLoader përdor taktika të avancuara evazioni, duke shfaqur mekanizma të fuqishëm mbrojtës për të anashkaluar programet antivirus dhe mjediset sandbox. Qëllimi i tij është të ngarkojë vjedhësit direkt në memorie. Raportet tregojnë se BabbleLoader është përdorur në fushata të shumta që synojnë audiencën anglisht dhe rusishtfolës. Këto operacione fokusohen kryesisht në përdoruesit që kërkojnë softuer të dëmtuar dhe profesionistë të biznesit në rolet e financës dhe administrative, duke u maskuar si softuer kontabël.

Tabela e Përmbajtjes

Roli i ngarkuesve në sulmet e malware

Ngarkuesit janë bërë një metodë e përdorur gjerësisht për vendosjen e kërcënimeve të tilla si vjedhësit dhe ransomware, shpesh duke shërbyer si faza fillestare e një sulmi. Ato janë krijuar për të shmangur zbulimin tradicional të antiviruseve duke integruar teknika të gjera anti-analizë dhe anti-sandboxing.

Kjo prirje është e dukshme në shfaqjen e vazhdueshme të familjeve të reja ngarkues gjatë viteve të fundit. Shembujt përfshijnë Dolphin Loader, Emmental, FakeBat dhe Hijack Loader , të cilat janë përdorur për të shpërndarë ngarkesa të ndryshme, duke përfshirë CryptBot , Lumma Stealer , SectopRAT , SmokeLoader dhe Ursnif .

BabbleLoader është i pajisur me teknika të shumta evazioni

BabbleLoader shquhet për teknikat e tij të sofistikuara të evazionit, të cilat mund të mashtrojnë si sistemet tradicionale të zbulimit ashtu edhe ato të drejtuara nga AI. Këto metoda përfshijnë përdorimin e kodit të padëshiruar dhe transformimeve metamorfike, të cilat ndryshojnë strukturën e ngarkuesit dhe rrjedhën e ekzekutimit për të anashkaluar analizat e bazuara në nënshkrime dhe të sjelljes.

Ngarkuesi shmang analizën statike duke zgjidhur funksionet kritike vetëm në kohën e ekzekutimit dhe përdor masa për të penguar ekzaminimet e bazuara në sandbox. Për më tepër, ai përfshin sasi të tepërta kodi të pakuptimtë, të krijuar për të mposhtur dhe prishur mjetet e çmontimit ose dekompilimit si IDA, Ghidra dhe Binary Ninja, duke kërkuar analiza manuale.

Çdo përsëritje e BabbleLoader është krijuar në mënyrë unike, duke shfaqur vargje të dallueshme, meta të dhëna, kode, hash, metoda enkriptimi dhe flukse kontrolli. Ndërsa mostrat individuale ndajnë copa kodi minimale, strukturat e tyre janë kryesisht unike. Edhe meta të dhënat e skedarëve janë të rastësishme në modele të mëtejshme të errëta.

Ky ndryshim i vazhdueshëm i detyron modelet e zbulimit të AI të përshtaten vazhdimisht, duke rezultuar shpesh në zbulime të humbura ose pozitive false për shkak të ndryshimeve të shpejta dhe të paparashikueshme në dizajnin e ngarkuesit.

BabbleLoader hap rrugën për kompromis të mëtejshëm të sistemeve

Në thelbin e tij, BabbleLoader është krijuar për të ngarkuar një kod guaskë që më pas deshifron dhe jep një ngarkues Donut, i cili më pas shpaketon dhe aktivizon malware-in e vjedhësit.

Sa më efektivisht ngarkuesit të mund të mbrojnë ngarkesat përfundimtare, aq më pak burime duhet të investojnë sulmuesit në rotacionin e infrastrukturës së komprometuar. BabbleLoader përdor teknika të ndryshme për t'u mbrojtur nga zbulimi, duke e lejuar atë të mbetet konkurrues në peizazhin e ngarkuesit dhe kripterit të mbushur me njerëz.