Шкідливе програмне забезпечення BabbleLoader

До Mezo року в Шкідливе програмне забезпечення році

Перекласти на:

Експерти з кібербезпеки виявили нову, дуже приховану загрозу, відому як BabbleLoader, яка, як було помічено, розгортає такі інструменти для крадіжки інформації, як White S nake і Meduza .

BabbleLoader використовує вдосконалену тактику ухилення, включаючи надійні механізми захисту для обходу антивірусних програм і пісочниці. Його призначення - завантажувати крадіжки безпосередньо в пам'ять. У звітах зазначено, що BabbleLoader використовувався в кількох кампаніях, орієнтованих на англомовну та російськомовну аудиторію. Ці операції в основному зосереджені на користувачах, які шукають зламане програмне забезпечення, і бізнес-професіоналах на фінансових і адміністративних посадах, які маскуються під бухгалтерське програмне забезпечення.

Зміст

Роль завантажувачів у атаках шкідливих програм

Завантажувачі стали широко використовуваним методом розгортання загроз, таких як крадіжки та програми-вимагачі, часто слугуючи початковою фазою атаки. Вони створені для ухилення від традиційного виявлення антивірусів шляхом інтеграції розширених методів антианалізу та захисту від ізольованого програмного середовища.

Ця тенденція очевидна в постійній появі нових сімейств навантажувачів протягом останніх років. Приклади включають Dolphin Loader, Emmental, FakeBat і Hijack Loader , які використовувалися для розповсюдження різних корисних навантажень, зокрема CryptBot , Lumma Stealer , SectopRAT , SmokeLoader і Ursnif .

BabbleLoader оснащено численними прийомами ухилення

BabbleLoader виділяється завдяки своїм складним методам ухилення, які можуть ввести в оману як традиційні, так і керовані штучним інтелектом системи виявлення. Ці методи включають використання сміттєвого коду та метаморфічних перетворень, які змінюють структуру завантажувача та потік виконання, щоб обійти аналіз на основі сигнатур та поведінковий аналіз.

Завантажувач уникає статичного аналізу, вирішуючи критичні функції лише під час виконання, і вживає заходів для запобігання перевіркам на основі пісочниці. Крім того, він містить надмірну кількість безглуздого коду, створеного для того, щоб перевантажувати та виводити з ладу інструменти розбирання чи декомпіляції, такі як IDA, Ghidra та Binary Ninja, що потребує ручного аналізу.

Кожна ітерація BabbleLoader створена унікальним чином і містить окремі рядки, метадані, код, хеші, методи шифрування та потоки керування. Хоча окремі зразки мають мінімальну кількість фрагментів коду, їх структури в основному унікальні. Навіть метадані файлів рандомізуються до подальших незрозумілих шаблонів.

Ця безперервна зміна змушує моделі виявлення штучного інтелекту постійно адаптуватися, що часто призводить до пропусків виявлення або помилкових спрацьовувань через швидкі та непередбачувані зміни в конструкції завантажувача.

BabbleLoader прокладає шлях для подальшого компромісу систем

За своєю суттю BabbleLoader розроблений для завантаження шелл-коду, який згодом розшифровує та доставляє завантажувач Donut, який потім розпаковує та активує зловмисне програмне забезпечення.

Чим ефективніше завантажувачі можуть захистити кінцеві корисні навантаження, тим менше ресурсів потрібно інвестувати зловмисникам у зміну скомпрометованої інфраструктури. BabbleLoader використовує різні методи, щоб захистити себе від виявлення, що дозволяє йому залишатися конкурентоспроможним у переповненому середовищі завантажувачів і шифрувальників.