BabbleLoader 惡意軟體

惡意軟體年Mezo年

翻譯為：

網路安全專家發現了一種新的、高度隱藏的威脅，稱為 BabbleLoader，人們觀察到該威脅部署了White S nake和Meduza等資訊竊取工具。

BabbleLoader 採用先進的規避策略，具有強大的防禦機制來繞過防毒程式和沙箱環境。其目的是將竊取程式直接載入到記憶體中。報告表明，BabbleLoader 已被用於針對英語和俄語受眾的多個活動中。這些操作主要針對搜尋破解軟體的使用者以及擔任財務和行政角色的業務專業人士，將自己偽裝成會計軟體。

載入程式在惡意軟體攻擊中的作用

載入程式已成為部署竊取程式和勒索軟體等威脅的廣泛使用的方法，通常作為攻擊的初始階段。它們旨在透過整合廣泛的反分析和反沙箱技術來逃避傳統的防毒檢測。

近年來新裝載機系列的不斷出現，這一趨勢就很明顯。例如 Dolphin Loader、Emmental、 FakeBat和Hijack Loader ，它們已被用來分發各種有效負載，包括CryptBot 、 Lumma Stealer 、 SectopRAT 、 SmokeLoader和Ursnif 。

BabbleLoader 配備了多種規避技術

BabbleLoader 因其複雜的規避技術而脫穎而出，該技術可欺騙傳統和人工智慧驅動的檢測系統。這些方法包括使用垃圾程式碼和變質轉換，它們改變載入程式的結構和執行流程以繞過基於簽名的行為分析。

載入程式僅在運行時解析關鍵函數來避免靜態分析，並採取措施阻止基於沙箱的檢查。此外，它還包含大量無意義的程式碼，旨在壓垮 IDA、Ghidra 和 Binary Ninja 等反彙編或反編譯工具並使其崩潰，從而需要手動分析。

BabbleLoader 的每次迭代都是經過獨特設計的，具有不同的字串、元資料、程式碼、雜湊值、加密方法和控制流程。雖然各個範例共享最少的程式碼片段，但它們的結構主要是獨特的。甚至連文件元資料也被隨機化以進一步模糊模式。

這種持續的變化迫使人工智慧偵測模型不斷適應，由於裝載機設計的快速且不可預測的變化，常常導致漏檢或誤報。

BabbleLoader 為系統的進一步妥協鋪平了道路

BabbleLoader 的核心設計是載入 shellcode，隨後解密並提供 Donut 載入程序，然後解壓縮並啟動竊取者惡意軟體。

加載程式越能有效保護最終有效負載，攻擊者在旋轉受損基礎架構上所需投入的資源就越少。 BabbleLoader 採用各種技術來保護自己免受偵測，使其能夠在擁擠的載入器和加密器領域保持競爭力。