Το κακόβουλο λογισμικό BabbleLoader είναι μια κρυφή απειλή που παρέχει κλέφτες WhiteSnake και Meduza

Οι ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν έναν νέο και εξαιρετικά διαφυγόν φορτωτή κακόβουλου λογισμικού, τον BabbleLoader, ο οποίος χρησιμοποιείται για τη διανομή δύο διαβόητων οικογενειών κακόβουλου λογισμικού που κλέβουν πληροφορίες: το WhiteSnake και το Meduza. Οι προηγμένοι αμυντικοί μηχανισμοί του BabbleLoader το καθιστούν μια ισχυρή απειλή ικανή να παρακάμψει λύσεις προστασίας από ιούς και περιβάλλοντα sandbox για να μεταφέρει φορτία κακόβουλου λογισμικού απευθείας στη μνήμη του συστήματος.

Table of Contents

Ποιος στοχεύεται;

Το BabbleLoader έχει αναπτυχθεί σε καμπάνιες που στοχεύουν τόσο άτομα που μιλούν αγγλικά όσο και ρωσικά. Δελεάζει κυρίως τα θύματα μέσω δύο συγκεκριμένων τακτικών:

Μεταμφιέζεται σε σπασμένο λογισμικό για να προσελκύσει περιστασιακούς χρήστες.
Μεταμφιέζεται ως νόμιμο λογιστικό λογισμικό για να στοχεύει επαγγελματίες των επιχειρήσεων, ιδιαίτερα σε εκείνους στα οικονομικά και τη διοίκηση.

Αυτές οι τακτικές υπογραμμίζουν την ευελιξία του BabbleLoader και την αυξανόμενη πολυπλοκότητα των παραγόντων απειλών στην προσαρμογή του κακόβουλου λογισμικού σε συγκεκριμένα προφίλ θυμάτων.

Η αυξανόμενη απειλή των φορτωτών κακόβουλου λογισμικού

Οι φορτωτές όπως το BabbleLoader αντιπροσωπεύουν το πρώτο βήμα σε πολλές επιθέσεις κακόβουλου λογισμικού, λειτουργώντας ως μηχανισμοί παράδοσης για ransomware, κλέφτες και άλλα κακόβουλα ωφέλιμα φορτία. Η ικανότητά τους να παρακάμπτουν τις παραδοσιακές άμυνες πηγάζει από την ενσωμάτωση προηγμένων χαρακτηριστικών κατά της ανάλυσης, συμπεριλαμβανομένων των τεχνικών anti-sandboxing και anti-debugging.

Τα τελευταία χρόνια παρατηρήθηκε πολλαπλασιασμός νέων οικογενειών φόρτωσης —όπως το Dolphin Loader, το Emmental, το FakeBat και το Hijack Loader— που χρησιμοποιούνται για την παράδοση ενός ευρέος φάσματος κακόβουλου λογισμικού, συμπεριλαμβανομένων των CryptBot, Lumma Stealer, SectopRAT, SmokeLoader και Ursnif. Η είσοδος του BabbleLoader σε αυτή την πολυσύχναστη αγορά είναι αξιοσημείωτη για το μοναδικό και εξαιρετικά άσκοπο σχεδιασμό του.

Γιατί ξεχωρίζει το BabbleLoader

Το BabbleLoader χρησιμοποιεί πολλές εξελιγμένες τεχνικές αποφυγής που καθιστούν δύσκολο τον εντοπισμό και την ανάλυση:

Junk Code και Metamorphic Transformations : Αυτές οι τεχνικές αλλάζουν τη δομή και τη ροή του φορτωτή για να παρακάμψουν τόσο τα συστήματα ανίχνευσης που βασίζονται στην υπογραφή όσο και τα συστήματα ανίχνευσης συμπεριφοράς.
Ανάλυση λειτουργίας χρόνου εκτέλεσης : Οι συναρτήσεις επιλύονται μόνο κατά τη διάρκεια του χρόνου εκτέλεσης, παρακάμπτοντας τις μεθόδους στατικής ανάλυσης.
Κώδικας που προκαλεί σύγκρουση : Ο υπερβολικός ανεπιθύμητος κώδικας μπορεί να προκαλέσει τη συντριβή εργαλείων αποσυναρμολόγησης ή αποσυμπίλησης, όπως το IDA, το Ghidra και το Binary Ninja.
Σταθερή παραλλαγή : Κάθε έκδοση του BabbleLoader έχει μοναδικό κώδικα, συμβολοσειρές, μεταδεδομένα, κρυπτογράφηση και ροή ελέγχου, διασφαλίζοντας ότι δεν υπάρχουν δύο ίδια δείγματα.

Αυτή η συνεχής παραλλαγή αναγκάζει τα μοντέλα ανίχνευσης που βασίζονται σε τεχνητή νοημοσύνη να ξαναμάθουν μοτίβα, οδηγώντας συχνά σε χαμένες ανιχνεύσεις ή ψευδώς θετικά αποτελέσματα.

Πώς λειτουργεί το BabbleLoader

Στον πυρήνα του, η δουλειά του BabbleLoader είναι να φορτώνει τον shellcode, ο οποίος αποκρυπτογραφεί και εκτελεί πρόσθετο κακόβουλο κώδικα. Αυτή η διαδικασία περιλαμβάνει έναν φορτωτή Donut που αποσυσκευάζει και αναπτύσσει το τελικό ωφέλιμο φορτίο κακόβουλου λογισμικού, όπως το WhiteSnake ή το Meduza stealer. Προστατεύοντας αυτά τα ωφέλιμα φορτία, το BabbleLoader επιτρέπει στους παράγοντες απειλών να μειώσουν τους πόρους που δαπανώνται για την αντικατάσταση της υποδομής σε κίνδυνο.

Ευρύτερες τάσεις κακόβουλου λογισμικού

Η εμφάνιση του BabbleLoader συμπίπτει με άλλες πρόσφατες εξελίξεις στο οικοσύστημα κακόβουλου λογισμικού:

LodaRAT : Μια νέα καμπάνια που περιγράφεται λεπτομερώς από το Rapid7 αποκάλυψε ενημερωμένες εκδόσεις του LodaRAT που έχουν σχεδιαστεί για να κλέβουν cookies και κωδικούς πρόσβασης από προγράμματα περιήγησης όπως το Microsoft Edge και το Brave. Το LodaRAT μπορεί επίσης να συγκεντρώσει ευαίσθητα δεδομένα, να παραδώσει πρόσθετο κακόβουλο λογισμικό και να εκχωρήσει απομακρυσμένο έλεγχο σε μολυσμένα συστήματα.
Mr.Skeleton RAT : Αυτό το κακόβουλο λογισμικό, που βασίζεται στο njRAT, προσφέρει δυνατότητες όπως καταγραφή πλήκτρων, απομακρυσμένη εκτέλεση φλοιού, χειρισμό αρχείων και μητρώου, ακόμη και απομακρυσμένη πρόσβαση στην κάμερα μιας συσκευής.

Τι μπορεί να γίνει;

Δεδομένων των εξελιγμένων τεχνικών αποφυγής που χρησιμοποιούνται από το BabbleLoader και άλλους φορτωτές, οι παραδοσιακές λύσεις προστασίας από ιούς από μόνες τους ενδέχεται να μην αρκούν. Οργανισμοί και άτομα θα πρέπει να υιοθετήσουν μια πολυεπίπεδη προσέγγιση για την ασφάλεια που περιλαμβάνει:

Εργαλεία ανάλυσης συμπεριφοράς : Για τον εντοπισμό μη φυσιολογικής συμπεριφοράς που σχετίζεται με φορτωτές.
Ανίχνευση και απόκριση τελικού σημείου (EDR) : Για παρακολούθηση και μετριασμό ύποπτης δραστηριότητας σε πραγματικό χρόνο.
Εκπαίδευση εργαζομένων : Για να αναγνωρίσετε τις τακτικές phishing και να αποφύγετε τη λήψη λογισμικού από μη επαληθευμένες πηγές.

Καθώς οι φορτωτές κακόβουλου λογισμικού συνεχίζουν να εξελίσσονται, η παραμονή σε επαγρύπνηση και προληπτική δράση είναι απαραίτητη για την αποτροπή αυτών των αναδυόμενων απειλών. Η ανακάλυψη του BabbleLoader υπογραμμίζει την ανάγκη για ισχυρές άμυνες κυβερνοασφάλειας και συνεχή προσαρμογή στις τακτικές των εγκληματιών στον κυβερνοχώρο.

Μέχρι το Zane

November 19, 2024

Κακόβουλο λογισμικό