BabbleLoader Malware

Sa pamamagitan ng Mezo sa Malware

Isalin To:

Natukoy ng mga dalubhasa sa cybersecurity ang isang bago, lubos na tago na banta na kilala bilang BabbleLoader, na naobserbahang nagde-deploy ng mga tool sa pagnanakaw ng impormasyon tulad ng White S nake at Meduza .

Gumagamit ang BabbleLoader ng mga advanced na taktika sa pag-iwas, na nagtatampok ng mga matatag na mekanismo ng pagtatanggol upang i-bypass ang mga antivirus program at mga sandbox na kapaligiran. Ang layunin nito ay direktang i-load ang mga magnanakaw sa memorya. Isinasaad ng mga ulat na ang BabbleLoader ay ginamit sa maraming campaign na nagta-target sa mga audience na nagsasalita ng English at Russian. Pangunahing tumutuon ang mga operasyong ito sa mga user na naghahanap ng mga basag na software at mga propesyonal sa negosyo sa mga tungkulin sa pananalapi at administratibo, na nagkukunwari sa kanilang sarili bilang software ng accounting.

Talaan ng mga Nilalaman

Ang Papel ng mga Loader sa Mga Pag-atake ng Malware

Ang mga loader ay naging malawakang ginagamit na paraan para sa pag-deploy ng mga banta gaya ng mga stealers at ransomware, na kadalasang nagsisilbing paunang yugto ng pag-atake. Ang mga ito ay idinisenyo upang iwasan ang tradisyonal na pagtukoy ng antivirus sa pamamagitan ng pagsasama ng malawak na anti-analysis at anti-sandboxing na mga diskarte.

Ang trend na ito ay maliwanag sa patuloy na paglitaw ng mga bagong pamilya ng loader sa nakalipas na mga taon. Kasama sa mga halimbawa ang Dolphin Loader, Emmental, FakeBat , at Hijack Loader , na ginamit upang ipamahagi ang iba't ibang mga payload, kabilang ang CryptBot , Lumma Stealer , SectopRAT , SmokeLoader , at Ursnif .

Ang BabbleLoader ay Nilagyan ng Maraming Mga Diskarte sa Pag-iwas

Namumukod-tangi ang BabbleLoader dahil sa mga sopistikadong pamamaraan ng pag-iwas nito, na maaaring linlangin ang parehong tradisyonal at AI-driven na mga sistema ng pagtuklas. Kasama sa mga pamamaraang ito ang paggamit ng junk code at mga metamorphic na pagbabago, na nagbabago sa istraktura ng loader at daloy ng pagpapatupad upang lampasan ang mga pagsusuri na batay sa lagda at pag-uugali.

Iniiwasan ng loader ang static na pagsusuri sa pamamagitan ng pagresolba ng mga kritikal na function lamang sa runtime at gumagamit ng mga hakbang upang hadlangan ang mga pagsusuring batay sa sandbox. Bukod pa rito, isinasama nito ang labis na dami ng walang kabuluhang code, na idinisenyo upang puspusan at i-crash ang mga tool sa disassembly o decompilation tulad ng IDA, Ghidra, at Binary Ninja, na nangangailangan ng manu-manong pagsusuri.

Ang bawat pag-ulit ng BabbleLoader ay kakaibang ginawa, na nagtatampok ng mga natatanging string, metadata, code, mga hash, paraan ng pag-encrypt, at mga daloy ng kontrol. Bagama't ang mga indibidwal na sample ay nagbabahagi ng kaunting mga snippet ng code, ang kanilang mga istruktura ay pangunahing natatangi. Kahit na ang metadata ng file ay randomized upang higit pang itago ang mga pattern.

Pinipilit ng tuluy-tuloy na variation na ito ang mga modelo ng AI detection na patuloy na umangkop, na kadalasang nagreresulta sa mga hindi nakuhang detection o false positive dahil sa mabilis at hindi inaasahang pagbabago sa disenyo ng loader.

Binibigyan ng BabbleLoader ang Daan para sa Karagdagang Kompromiso ng mga System

Sa kaibuturan nito, ang BabbleLoader ay idinisenyo upang mag-load ng shellcode na kasunod ay nagde-decrypt at naghahatid ng Donut loader, na pagkatapos ay i-unpack at i-activate ang stealer malware.

Kung mas mabisang mapangalagaan ng mga loader ang mga huling payload, mas kakaunting resource ang kailangang mamuhunan ng mga umaatake sa umiikot na nakompromisong imprastraktura. Gumagamit ang BabbleLoader ng iba't ibang mga diskarte upang maprotektahan ang sarili mula sa pagtuklas, na nagpapahintulot dito na manatiling mapagkumpitensya sa masikip na loader at crypter landscape.