BabbleLoader-Malware ist eine versteckte Bedrohung, die WhiteSnake- und Meduza-Stealer verbreitet

Cybersicherheitsforscher haben einen neuen und äußerst schwer zu bedienenden Malware-Loader namens BabbleLoader entdeckt, der zur Verbreitung von zwei berüchtigten Malware-Familien verwendet wird, die Informationen stehlen: WhiteSnake und Meduza. Dank seiner fortschrittlichen Abwehrmechanismen ist BabbleLoader eine potente Bedrohung, die Antivirenlösungen und Sandbox-Umgebungen umgehen kann, um Malware-Payloads direkt in den Systemspeicher zu übertragen.

Wer ist das Ziel?

BabbleLoader wurde in Kampagnen eingesetzt, die sich sowohl an englisch- als auch russischsprachige Personen richteten. Es lockt Opfer hauptsächlich durch zwei spezifische Taktiken an:

• Tarnt sich als geknackte Software, um Gelegenheitsnutzer anzulocken.
• Getarnt als legitime Buchhaltungssoftware, um Geschäftsleute, insbesondere in den Bereichen Finanzen und Verwaltung, anzusprechen.

Diese Taktiken unterstreichen die Vielseitigkeit von BabbleLoader und die zunehmende Raffinesse der Bedrohungsakteure bei der Anpassung von Malware an spezifische Opferprofile.

Die wachsende Bedrohung durch Malware-Loader

Loader wie BabbleLoader sind der erste Schritt bei vielen Malware-Angriffen und fungieren als Übermittlungsmechanismus für Ransomware, Stealer und andere bösartige Payloads. Ihre Fähigkeit, herkömmliche Abwehrmaßnahmen zu umgehen, beruht auf der Einbindung erweiterter Anti-Analyse-Funktionen, darunter Anti-Sandboxing- und Anti-Debugging-Techniken.

In den letzten Jahren sind immer mehr neue Loader-Familien auf den Markt gekommen – beispielsweise Dolphin Loader, Emmental, FakeBat und Hijack Loader –, die zum Verteilen einer Vielzahl von Schadsoftware verwendet werden, darunter CryptBot, Lumma Stealer, SectopRAT, SmokeLoader und Ursnif. Der Einstieg von BabbleLoader in diesen überfüllten Markt ist aufgrund seines einzigartigen und äußerst schwer zu umgehenden Designs bemerkenswert.

Warum BabbleLoader heraussticht

BabbleLoader verwendet mehrere ausgeklügelte Umgehungstechniken, die seine Erkennung und Analyse erschweren:

• Junk-Code und metamorphe Transformationen : Diese Techniken ändern die Struktur und den Fluss des Laders, um sowohl signaturbasierte als auch verhaltensbasierte Erkennungssysteme zu umgehen.
• Laufzeitfunktionsauflösung : Funktionen werden nur während der Laufzeit aufgelöst, wodurch statische Analysemethoden umgangen werden.
• Absturzverursachender Code : Zu viel Junk-Code kann zum Absturz von Disassemblierungs- oder Dekompilierungstools wie IDA, Ghidra und Binary Ninja führen.
• Ständige Variation : Jeder Build von BabbleLoader verfügt über einzigartigen Code, Zeichenfolgen, Metadaten, Verschlüsselung und Kontrollfluss, wodurch sichergestellt wird, dass keine zwei Samples identisch sind.

Diese ständige Variation zwingt KI-basierte Erkennungsmodelle dazu, Muster neu zu erlernen, was häufig zu verpassten Erkennungen oder Fehlalarmen führt.

So funktioniert BabbleLoader

Im Wesentlichen besteht die Aufgabe von BabbleLoader darin, Shellcode zu laden, der weiteren Schadcode entschlüsselt und ausführt. Dieser Prozess umfasst einen Donut-Loader, der die endgültige Malware-Nutzlast, wie beispielsweise den WhiteSnake- oder Meduza-Stealer, entpackt und bereitstellt. Durch die Abschirmung dieser Nutzlasten ermöglicht BabbleLoader Bedrohungsakteuren, den Ressourcenaufwand für den Austausch kompromittierter Infrastruktur zu reduzieren.

Allgemeinere Malware-Trends

Das Auftauchen von BabbleLoader fällt mit anderen aktuellen Entwicklungen im Malware-Ökosystem zusammen:

• LodaRAT : Eine neue, von Rapid7 beschriebene Kampagne hat aktualisierte Versionen von LodaRAT enthüllt, die darauf ausgelegt sind, Cookies und Passwörter von Browsern wie Microsoft Edge und Brave zu stehlen. LodaRAT kann außerdem vertrauliche Daten sammeln, zusätzliche Malware übertragen und Fernsteuerung über infizierte Systeme ermöglichen.
• Mr.Skeleton RAT : Diese auf njRAT basierende Malware bietet Funktionen wie Keylogging, Remote-Shell-Ausführung, Datei- und Registrierungsmanipulation und sogar Fernzugriff auf die Kamera eines Geräts.

Was kann getan werden?

Angesichts der ausgeklügelten Umgehungstechniken, die BabbleLoader und andere Loader verwenden, reichen herkömmliche Antivirenlösungen allein möglicherweise nicht aus. Organisationen und Einzelpersonen sollten einen mehrschichtigen Sicherheitsansatz verfolgen, der Folgendes umfasst:

• Tools zur Verhaltensanalyse : Zum Erkennen von abnormalem Verhalten im Zusammenhang mit Ladern.
• Endpoint Detection and Response (EDR) : Zur Überwachung und Eindämmung verdächtiger Aktivitäten in Echtzeit.
• Schulung der Mitarbeiter : Erkennen von Phishing-Taktiken und Vermeiden des Herunterladens von Software aus nicht überprüften Quellen.

Da Malware-Loader sich ständig weiterentwickeln, ist es unerlässlich, wachsam und proaktiv zu bleiben, um diese neuen Bedrohungen abzuwehren. Die Entdeckung von BabbleLoader unterstreicht die Notwendigkeit robuster Cybersicherheitsmaßnahmen und einer ständigen Anpassung an die Taktiken von Cyberkriminellen.