Phần mềm độc hại BabbleLoader

Đến năm Mezo năm Phần mềm độc hại

Dịch sang:

Các chuyên gia an ninh mạng đã xác định được một mối đe dọa mới, cực kỳ bí mật có tên là BabbleLoader, được phát hiện đang triển khai các công cụ đánh cắp thông tin như White S nake và Meduza .

BabbleLoader sử dụng các chiến thuật né tránh nâng cao, có cơ chế phòng thủ mạnh mẽ để vượt qua các chương trình diệt vi-rút và môi trường hộp cát. Mục đích của nó là tải những kẻ đánh cắp trực tiếp vào bộ nhớ. Các báo cáo chỉ ra rằng BabbleLoader đã được sử dụng trong nhiều chiến dịch nhắm vào đối tượng nói tiếng Anh và tiếng Nga. Các hoạt động này chủ yếu tập trung vào người dùng tìm kiếm phần mềm bị bẻ khóa và các chuyên gia kinh doanh trong các vai trò tài chính và hành chính, ngụy trang thành phần mềm kế toán.

Mục lục

Vai trò của Loader trong các cuộc tấn công phần mềm độc hại

Loader đã trở thành phương pháp được sử dụng rộng rãi để triển khai các mối đe dọa như kẻ đánh cắp và ransomware, thường đóng vai trò là giai đoạn đầu của một cuộc tấn công. Chúng được thiết kế để tránh phát hiện của phần mềm diệt vi-rút truyền thống bằng cách tích hợp các kỹ thuật chống phân tích và chống hộp cát mở rộng.

Xu hướng này thể hiện rõ qua sự xuất hiện liên tục của các họ trình tải mới trong những năm gần đây. Ví dụ bao gồm Dolphin Loader, Emmental, FakeBat và Hijack Loader , được sử dụng để phân phối nhiều loại tải trọng khác nhau, bao gồm CryptBot , Lumma Stealer , SectopRAT , SmokeLoader và Ursnif .

BabbleLoader được trang bị nhiều kỹ thuật né tránh

BabbleLoader nổi bật nhờ các kỹ thuật trốn tránh tinh vi, có thể đánh lừa cả hệ thống phát hiện truyền thống và do AI điều khiển. Các phương pháp này bao gồm việc sử dụng mã rác và chuyển đổi biến hình, làm thay đổi cấu trúc và luồng thực thi của trình tải để bỏ qua các phân tích dựa trên chữ ký và hành vi.

Bộ tải tránh phân tích tĩnh bằng cách chỉ giải quyết các chức năng quan trọng khi chạy và sử dụng các biện pháp để ngăn chặn các cuộc kiểm tra dựa trên hộp cát. Ngoài ra, nó kết hợp quá nhiều mã vô nghĩa, được thiết kế để làm quá tải và làm sập các công cụ tháo rời hoặc dịch ngược như IDA, Ghidra và Binary Ninja, đòi hỏi phải phân tích thủ công.

Mỗi lần lặp lại của BabbleLoader đều được chế tạo độc đáo, có các chuỗi, siêu dữ liệu, mã, hàm băm, phương pháp mã hóa và luồng điều khiển riêng biệt. Trong khi các mẫu riêng lẻ chia sẻ các đoạn mã tối thiểu, cấu trúc của chúng chủ yếu là duy nhất. Ngay cả siêu dữ liệu tệp cũng được ngẫu nhiên hóa để làm mờ các mẫu hơn nữa.

Sự thay đổi liên tục này buộc các mô hình phát hiện AI phải liên tục thích ứng, thường dẫn đến việc bỏ sót các phát hiện hoặc kết quả dương tính giả do những thay đổi nhanh chóng và không thể đoán trước trong thiết kế của trình tải.

BabbleLoader mở đường cho sự xâm phạm hệ thống sâu hơn

Về cơ bản, BabbleLoader được thiết kế để tải một shellcode sau đó giải mã và cung cấp trình tải Donut, sau đó giải nén và kích hoạt phần mềm độc hại đánh cắp.

Trình tải càng bảo vệ các tải trọng cuối cùng hiệu quả thì kẻ tấn công càng cần ít tài nguyên hơn để đầu tư vào cơ sở hạ tầng bị xâm phạm. BabbleLoader sử dụng nhiều kỹ thuật khác nhau để bảo vệ bản thân khỏi bị phát hiện, cho phép nó duy trì tính cạnh tranh trong bối cảnh trình tải và trình mã hóa đông đúc.