BabbleLoader Malware

Med Mezo år Skadlig programvara

Översätt till:

Cybersäkerhetsexperter har identifierat ett nytt, mycket hemligt hot känt som BabbleLoader, som har observerats använda verktyg för att stjäla information som White S nake och Meduza .

BabbleLoader använder avancerade undanflyktstaktik, med robusta försvarsmekanismer för att kringgå antivirusprogram och sandlådemiljöer. Dess syfte är att ladda stjälare direkt i minnet. Rapporter visar att BabbleLoader har använts i flera kampanjer som riktar sig till engelsk- och rysktalande publik. Dessa verksamheter fokuserar i första hand på användare som söker efter knäckt mjukvara och affärsmän inom ekonomi och administrativa roller, som maskerar sig som bokföringsprogram.

Innehållsförteckning

Laddarnas roll i attacker med skadlig programvara

Laddare har blivit en allmänt använd metod för att distribuera hot som stjälare och ransomware, som ofta fungerar som den inledande fasen av en attack. De är utformade för att undvika traditionell antivirusupptäckt genom att integrera omfattande antianalys- och antisandlådetekniker.

Denna trend är tydlig i den kontinuerliga uppkomsten av nya lastarfamiljer under de senaste åren. Exempel inkluderar Dolphin Loader, Emmental, FakeBat och Hijack Loader , som har utnyttjats för att distribuera olika nyttolaster, inklusive CryptBot , Lumma Stealer , SectopRAT , SmokeLoader och Ursnif .

BabbleLoader är utrustad med många undanflyktstekniker

BabbleLoader sticker ut genom sina sofistikerade undanflyktstekniker, som kan lura både traditionella och AI-drivna detektionssystem. Dessa metoder inkluderar användning av skräpkod och metamorfa transformationer, som ändrar lastarens struktur och exekveringsflöde för att kringgå signaturbaserade och beteendeanalyser.

Laddaren undviker statisk analys genom att lösa kritiska funktioner endast under körning och använder åtgärder för att omintetgöra sandlådebaserade undersökningar. Dessutom innehåller den alltför stora mängder meningslös kod, designad för att överväldiga och krascha demonterings- eller dekompileringsverktyg som IDA, Ghidra och Binary Ninja, vilket kräver manuell analys.

Varje iteration av BabbleLoader är unikt utformad, med distinkta strängar, metadata, kod, hash, krypteringsmetoder och kontrollflöden. Medan enskilda prov delar minimala kodavsnitt, är deras strukturer huvudsakligen unika. Även filmetadata randomiseras för att ytterligare skymma mönster.

Denna kontinuerliga variation tvingar AI-detektionsmodeller att ständigt anpassa sig, vilket ofta resulterar i missade upptäckter eller falska positiva resultat på grund av de snabba och oförutsägbara förändringarna i lastarens design.

BabbleLoader banar väg för ytterligare kompromisser av system

I sin kärna är BabbleLoader designad för att ladda en skalkod som sedan dekrypterar och levererar en Donut-laddare, som sedan packar upp och aktiverar skadlig programvara från stjälaren.

Ju effektivare lastare kan skydda de slutliga nyttolasterna, desto färre resurser behöver angripare investera i roterande komprometterad infrastruktur. BabbleLoader använder olika tekniker för att skydda sig från upptäckt, vilket gör att den kan förbli konkurrenskraftig i det fullsatta lastar- och krypteringslandskapet.