BabbleLoader Kötü Amaçlı Yazılım

Çevir:

Siber güvenlik uzmanları, White Snake ve Meduza gibi bilgi çalma araçlarını kullandığı gözlemlenen BabbleLoader olarak bilinen yeni ve oldukça gizli bir tehdit tespit etti.

BabbleLoader, antivirüs programlarını ve sandbox ortamlarını atlatmak için sağlam savunma mekanizmaları içeren gelişmiş kaçınma taktikleri kullanır. Amacı, hırsızları doğrudan belleğe yüklemektir. Raporlar, BabbleLoader'ın İngilizce ve Rusça konuşan kitleleri hedefleyen birden fazla kampanyada kullanıldığını göstermektedir. Bu operasyonlar, öncelikle kırılmış yazılım arayan kullanıcılara ve muhasebe yazılımı olarak gizlenen finans ve idari rollerdeki iş profesyonellerine odaklanmaktadır.

İçindekiler

Kötü Amaçlı Yazılım Saldırılarında Yükleyicilerin Rolü

Yükleyiciler, hırsızlar ve fidye yazılımları gibi tehditleri dağıtmak için yaygın olarak kullanılan bir yöntem haline geldi ve genellikle bir saldırının ilk aşaması olarak hizmet ediyor. Kapsamlı anti-analiz ve anti-kum havuzu tekniklerini entegre ederek geleneksel antivirüs tespitinden kaçınmak için tasarlanmıştır.

Bu eğilim, son yıllarda sürekli olarak yeni yükleyici ailelerinin ortaya çıkmasında belirgindir. Örnekler arasında CryptBot , Lumma Stealer , SectopRAT , SmokeLoader ve Ursnif dahil olmak üzere çeşitli yükleri dağıtmak için kullanılan Dolphin Loader, Emmental, FakeBat ve Hijack Loader yer almaktadır.

BabbleLoader Çok Sayıda Kaçınma Tekniğiyle Donatılmıştır

BabbleLoader, hem geleneksel hem de AI odaklı tespit sistemlerini aldatabilen sofistike kaçınma teknikleri nedeniyle öne çıkıyor. Bu yöntemler arasında, yükleyicinin yapısını ve yürütme akışını imza tabanlı ve davranışsal analizleri atlatmak için değiştiren önemsiz kod ve metamorfik dönüşümlerin kullanımı yer alıyor.

Yükleyici, kritik işlevleri yalnızca çalışma zamanında çözerek statik analizi önler ve sandbox tabanlı incelemeleri engellemek için önlemler kullanır. Ek olarak, IDA, Ghidra ve Binary Ninja gibi sökme veya derlemeyi bozma araçlarını alt üst etmek ve çökertmek için tasarlanmış aşırı miktarda anlamsız kod içerir ve bu da manuel analizi gerektirir.

BabbleLoader'ın her yinelemesi benzersiz bir şekilde hazırlanmıştır ve farklı dizeler, meta veriler, kod, karmalar, şifreleme yöntemleri ve kontrol akışları içerir. Bireysel örnekler asgari kod parçacıklarını paylaşırken, yapıları çoğunlukla benzersizdir. Dosya meta verileri bile desenleri daha da belirsizleştirmek için rastgele hale getirilir.

Bu sürekli değişim, yapay zeka tespit modellerinin sürekli olarak uyum sağlamasını zorunlu kılıyor ve yükleyicinin tasarımındaki hızlı ve öngörülemeyen değişiklikler nedeniyle sıklıkla tespitlerin gözden kaçması veya yanlış pozitif sonuçlar alınmasıyla sonuçlanıyor.

BabbleLoader Sistemlerin Daha Fazla Tehlikeye Atılmasının Yolunu Hazırlıyor

BabbleLoader, özünde bir kabuk kodu yükleyerek daha sonra şifresini çözüp bir Donut yükleyicisi sunmak ve ardından da hırsız kötü amaçlı yazılımı açıp etkinleştirmek üzere tasarlanmıştır.

Yükleyiciler son yükleri ne kadar etkili bir şekilde koruyabilirse, saldırganların tehlikeye atılmış altyapıyı döndürmek için yatırım yapması gereken kaynak da o kadar az olur. BabbleLoader, kendisini tespit edilmekten korumak için çeşitli teknikler kullanır ve bu sayede kalabalık yükleyici ve şifreleyici ortamında rekabetçi kalabilir.