BabbleLoader Malware er en snigende trussel, der leverer WhiteSnake og Meduza-tyvere

Cybersikkerhedsforskere har afsløret en ny og meget undvigende malware-loader, BabbleLoader, som bliver brugt til at distribuere to berygtede informationstjælende malware-familier: WhiteSnake og Meduza. BabbleLoaders avancerede defensive mekanismer gør den til en potent trussel, der er i stand til at omgå antivirusløsninger og sandkassemiljøer for at levere malware-nyttelast direkte ind i systemhukommelsen.

Hvem bliver målrettet?

BabbleLoader er blevet implementeret i kampagner rettet mod både engelsk- og russisktalende personer. Det lokker primært ofre gennem to specifikke taktikker:

  • Forklædt sig selv som cracket software for at tiltrække afslappede brugere.
  • Forklædt som legitim regnskabssoftware til at målrette forretningsfolk, især dem inden for økonomi og administration.

Disse taktikker fremhæver BabbleLoaders alsidighed og den stigende sofistikering af trusselsaktører i at skræddersy malware til specifikke offerprofiler.

Den voksende trussel fra malware-indlæsere

Indlæsere som BabbleLoader repræsenterer det første skridt i mange malware-angreb, der fungerer som leveringsmekanismer for ransomware, stjælere og andre ondsindede nyttelaster. Deres evne til at omgå traditionelle forsvar stammer fra at inkorporere avancerede anti-analyse funktioner, herunder anti-sandboxing og anti-debugging teknikker.

De seneste år har set en udbredelse af nye loader-familier – såsom Dolphin Loader, Emmental, FakeBat og Hijack Loader – der bruges til at levere en bred vifte af malware, herunder CryptBot, Lumma Stealer, SectopRAT, SmokeLoader og Ursnif. BabbleLoaders indtog på dette overfyldte marked er bemærkelsesværdigt for dets unikke og meget undvigende design.

Hvorfor BabbleLoader skiller sig ud

BabbleLoader anvender adskillige sofistikerede undvigelsesteknikker, der gør det vanskeligt at opdage og analysere:

  • Uønsket kode og metamorfe transformationer : Disse teknikker ændrer læsserens struktur og flow for at omgå både signaturbaserede og adfærdsmæssige detektionssystemer.
  • Kørselsfunktionsopløsning : Funktioner løses kun under kørslen og omgår statiske analysemetoder.
  • Crash-inducerende kode : Overdreven uønsket kode kan få demonterings- eller dekompileringsværktøjer, såsom IDA, Ghidra og Binary Ninja, til at gå ned.
  • Konstant variation : Hver build af BabbleLoader har unik kode, strenge, metadata, kryptering og kontrolflow, hvilket sikrer, at ikke to prøver er identiske.

Denne konstante variation tvinger AI-baserede detektionsmodeller til at genlære mønstre, hvilket ofte fører til mistede detektioner eller falske positiver.

Sådan fungerer BabbleLoader

I sin kerne er BabbleLoaders opgave at indlæse shellcode, som dekrypterer og udfører yderligere ondsindet kode. Denne proces involverer en Donut-indlæser, der udpakker og implementerer den endelige malware-nyttelast, såsom WhiteSnake- eller Meduza-tyveren. Ved at afskærme disse nyttelaster giver BabbleLoader trusselsaktører mulighed for at reducere de ressourcer, der bruges på at erstatte kompromitteret infrastruktur.

Bredere malware-tendenser

Fremkomsten af BabbleLoader falder sammen med andre nyere udviklinger i malware-økosystemet:

  • LodaRAT : En ny kampagne detaljeret af Rapid7 har afsløret opdaterede versioner af LodaRAT designet til at stjæle cookies og adgangskoder fra browsere som Microsoft Edge og Brave. LodaRAT kan også indsamle følsomme data, levere yderligere malware og give fjernstyring over inficerede systemer.
  • Mr.Skeleton RAT : Denne malware, baseret på njRAT, tilbyder funktioner såsom keylogging, fjernudførelse af shell, fil- og registreringsmanipulation og endda fjernadgang til en enheds kamera.

Hvad kan gøres?

I betragtning af de sofistikerede unddragelsesteknikker, der bruges af BabbleLoader og andre indlæsere, kan traditionelle antivirusløsninger alene ikke være tilstrækkelige. Organisationer og enkeltpersoner bør anvende en flerlagstilgang til sikkerhed, der omfatter:

  • Værktøjer til adfærdsanalyse : Til at opdage unormal adfærd forbundet med læssere.
  • Endpoint Detection and Response (EDR) : Til at overvåge og afbøde mistænkelig aktivitet i realtid.
  • Medarbejderuddannelse : At genkende phishing-taktik og undgå at downloade software fra ubekræftede kilder.

Efterhånden som malware-indlæsere fortsætter med at udvikle sig, er det vigtigt at forblive på vagt og proaktiv for at modarbejde disse nye trusler. Opdagelsen af BabbleLoader understreger behovet for robust cybersikkerhedsforsvar og konstant tilpasning til cyberkriminelles taktik.

I Zane
November 19, 2024
Malware
Dansk
November 19, 2024
Malware

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.