มัลแวร์ BabbleLoader

โดย Mezo ใน มัลแวร์

แปลเป็น:

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุถึงภัยคุกคามใหม่ที่ซ่อนเร้นอย่างยิ่งที่รู้จักกันในชื่อ BabbleLoader โดยพบว่ามีการใช้เครื่องมือขโมยข้อมูลเช่น White S nake และ Meduza

BabbleLoader ใช้กลวิธีหลีกเลี่ยงขั้นสูง โดยมีกลไกการป้องกันที่แข็งแกร่งเพื่อข้ามโปรแกรมป้องกันไวรัสและสภาพแวดล้อมแบบแซนด์บ็อกซ์ จุดประสงค์คือเพื่อโหลดโปรแกรมขโมยข้อมูลลงในหน่วยความจำโดยตรง รายงานระบุว่า BabbleLoader ถูกใช้ในแคมเปญต่างๆ มากมายที่กำหนดเป้าหมายไปที่ผู้ชมที่พูดภาษาอังกฤษและรัสเซีย การดำเนินการเหล่านี้มุ่งเน้นไปที่ผู้ใช้ที่ค้นหาซอฟต์แวร์ที่ถอดรหัสได้และมืออาชีพทางธุรกิจในบทบาททางการเงินและการบริหาร โดยปลอมตัวเป็นซอฟต์แวร์บัญชี

สารบัญ

บทบาทของโหลดเดอร์ในการโจมตีด้วยมัลแวร์

โหลดเดอร์ได้กลายเป็นวิธีการที่ใช้กันอย่างแพร่หลายในการเผยแพร่ภัยคุกคาม เช่น โปรแกรมขโมยข้อมูลและแรนซัมแวร์ โดยมักจะทำหน้าที่เป็นขั้นตอนเริ่มต้นของการโจมตี โหลดเดอร์ได้รับการออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสแบบดั้งเดิมโดยผสานเทคนิคการวิเคราะห์และแซนด์บ็อกซ์ที่ครอบคลุม

แนวโน้มนี้เห็นได้ชัดจากการเกิดขึ้นอย่างต่อเนื่องของตระกูลโหลดเดอร์ใหม่ๆ ในช่วงไม่กี่ปีที่ผ่านมา ตัวอย่างได้แก่ Dolphin Loader, Emmental, FakeBat และ Hijack Loader ซึ่งถูกใช้ประโยชน์เพื่อกระจายเพย์โหลดต่างๆ รวมถึง CryptBot , Lumma Stealer , SectopRAT , SmokeLoader และ Ursnif

BabbleLoader มีเทคนิคการหลบเลี่ยงมากมาย

BabbleLoader โดดเด่นด้วยเทคนิคการหลบเลี่ยงที่ซับซ้อน ซึ่งสามารถหลอกทั้งระบบตรวจจับแบบดั้งเดิมและระบบที่ขับเคลื่อนด้วย AI ได้ วิธีการเหล่านี้รวมถึงการใช้โค้ดขยะและการแปลงแบบเมทามอร์ฟิก ซึ่งเปลี่ยนโครงสร้างและกระแสการทำงานของตัวโหลดเพื่อข้ามการวิเคราะห์ตามลายเซ็นและพฤติกรรม

ตัวโหลดจะหลีกเลี่ยงการวิเคราะห์แบบคงที่โดยจะระบุฟังก์ชันที่สำคัญเฉพาะในขณะรันไทม์เท่านั้น และใช้มาตรการเพื่อขัดขวางการตรวจสอบตามแซนด์บ็อกซ์ นอกจากนี้ ตัวโหลดยังรวมโค้ดที่ไม่มีความหมายจำนวนมาก ซึ่งออกแบบมาเพื่อทำให้เครื่องมือถอดรหัสหรือถอดรหัส เช่น IDA, Ghidra และ Binary Ninja ทำงานหนักเกินไปจนทำให้โปรแกรมทำงานล้มเหลว ซึ่งจำเป็นต้องทำการวิเคราะห์ด้วยตนเอง

แต่ละการวนซ้ำของ BabbleLoader ได้รับการออกแบบอย่างเฉพาะตัว โดยมีสตริง เมตาดาต้า โค้ด แฮช วิธีการเข้ารหัส และโฟลว์การควบคุมที่แตกต่างกัน แม้ว่าตัวอย่างแต่ละตัวจะใช้โค้ดสั้นๆ ร่วมกัน แต่โครงสร้างส่วนใหญ่จะไม่เหมือนกัน แม้แต่เมตาดาต้าของไฟล์ก็ยังสุ่มเพื่อให้รูปแบบคลุมเครือยิ่งขึ้น

การเปลี่ยนแปลงอย่างต่อเนื่องนี้บังคับให้โมเดลการตรวจจับของ AI ต้องปรับตัวอยู่ตลอดเวลา ซึ่งมักส่งผลให้การตรวจจับพลาดหรือเกิดผลลัพธ์บวกปลอมเนื่องมาจากการเปลี่ยนแปลงที่รวดเร็วและไม่สามารถคาดเดาได้ในการออกแบบโหลดเดอร์

BabbleLoader ปูทางสำหรับการประนีประนอมระบบเพิ่มเติม

BabbleLoader ได้รับการออกแบบมาเพื่อโหลดเชลล์โค้ดซึ่งจะทำการถอดรหัสและส่งโปรแกรมโหลด Donut จากนั้นโปรแกรมจะแกะและเปิดใช้งานมัลแวร์ที่ขโมยข้อมูล

ยิ่งโหลดเดอร์สามารถปกป้องเพย์โหลดสุดท้ายได้อย่างมีประสิทธิภาพมากเท่าไร ผู้โจมตีก็ยิ่งต้องลงทุนทรัพยากรน้อยลงในโครงสร้างพื้นฐานที่ถูกบุกรุกแบบหมุนเวียน BabbleLoader ใช้เทคนิคต่างๆ เพื่อป้องกันตัวเองจากการตรวจจับ ช่วยให้สามารถแข่งขันได้ท่ามกลางโหลดเดอร์และคริปเตอร์ที่มีการแข่งขันสูง