A BabbleLoader malware egy rejtett fenyegetés, amely WhiteSnake és Meduza lopókat szállít

A kiberbiztonsági kutatók egy új, rendkívül kikerülő kártevő-betöltőt, a BabbleLoader-t fedeztek fel, amelyet két hírhedt információlopó kártevőcsalád terjesztésére használnak: a WhiteSnake-et és a Meduzát. A BabbleLoader fejlett védelmi mechanizmusai erős fenyegetést jelentenek, amely képes megkerülni a víruskereső megoldásokat és a sandbox környezeteket, hogy a rosszindulatú programokat közvetlenül a rendszermemóriába szállítsa.

Kiket céloznak meg?

A BabbleLoader alkalmazást az angol és oroszul beszélő egyéneket célzó kampányokban is bevezették. Elsősorban két konkrét taktikával csalogatja az áldozatokat:

  • Feltört szoftvernek álcázza magát, hogy vonzza az alkalmi felhasználókat.
  • Legális számviteli szoftvernek álcázva az üzleti szakembereket, különösen a pénzügyi és adminisztrációs területen dolgozókat.

Ezek a taktikák kiemelik a BabbleLoader sokoldalúságát és a fenyegetés szereplőinek egyre kifinomultabbá válását a rosszindulatú szoftverek konkrét áldozati profilokhoz való igazításában.

A rosszindulatú programbetöltők növekvő veszélye

A BabbleLoaderhez hasonló betöltők számos rosszindulatú támadás első lépését jelentik, és ransomware-ek, lopók és más rosszindulatú rakományok kézbesítési mechanizmusaiként működnek. Az a képességük, hogy megkerüljék a hagyományos védelmet, a fejlett anti-analízis funkciók beépítéséből fakad, beleértve a homokozó- és hibakeresés-ellenes technikákat.

Az elmúlt években megszaporodtak az új betöltőcsaládok – mint például a Dolphin Loader, az Emmental, a FakeBat és a Hijack Loader –, amelyek a rosszindulatú programok széles skálájának szállítására szolgálnak, beleértve a CryptBotot, a Lumma Stealert, a SectopRAT-ot, a SmokeLoader-t és az Ursnifot. A BabbleLoader belépése erre a zsúfolt piacra egyedi és rendkívül kitérő kialakításáról híres.

Miért tűnik ki a BabbleLoaderből?

A BabbleLoader számos kifinomult kijátszási technikát alkalmaz, amelyek megnehezítik az észlelést és elemzést:

  • Kéretlen kód és metamorf transzformációk : Ezek a technikák megváltoztatják a betöltő szerkezetét és áramlását, hogy megkerüljék az aláírás-alapú és a viselkedésérzékelő rendszereket.
  • Futásidejű függvényfeloldás : A funkciók csak futás közben kerülnek feloldásra, megkerülve a statikus elemzési módszereket.
  • Összeomlást előidéző kód : A túlzott levélszemét kód a szétszedő vagy visszafejtő eszközök, például az IDA, a Ghidra és a Binary Ninja összeomlását okozhatja.
  • Állandó variáció : A BabbleLoader minden buildje egyedi kóddal, karakterláncokkal, metaadatokkal, titkosítással és vezérlőfolyamattal rendelkezik, biztosítva, hogy ne legyen két azonos minta.

Ez a folyamatos változás arra kényszeríti az AI-alapú észlelési modelleket, hogy újratanulják a mintákat, ami gyakran elmulasztott észleléshez vagy hamis pozitív eredményhez vezet.

Hogyan működik a BabbleLoader

Lényegében a BabbleLoader feladata a shellkód betöltése, amely visszafejti és végrehajtja a további rosszindulatú kódokat. Ez a folyamat egy Donut betöltőt foglal magában, amely kicsomagolja és telepíti a kártevő végső rakományát, például a WhiteSnake vagy a Meduza lopót. A hasznos terhek árnyékolásával a BabbleLoader lehetővé teszi a fenyegetés szereplői számára, hogy csökkentsék a veszélyeztetett infrastruktúra cseréjére fordított erőforrásokat.

A rosszindulatú programok szélesebb körű trendjei

A BabbleLoader megjelenése egybeesik a rosszindulatú szoftverek ökoszisztémájának közelmúltbeli fejleményeivel:

  • LodaRAT : A Rapid7 által részletezett új kampány felfedte a LodaRAT frissített verzióit, amelyek célja a cookie-k és jelszavak ellopása olyan böngészőkből, mint a Microsoft Edge és a Brave. A LodaRAT emellett érzékeny adatokat gyűjthet, további rosszindulatú programokat szállíthat, és távirányítást biztosít a fertőzött rendszerek felett.
  • Mr.Skeleton RAT : Ez az njRAT-on alapuló rosszindulatú program olyan funkciókat kínál, mint a billentyűnaplózás, a távoli shell-végrehajtás, a fájlok és a rendszerleíró adatbázis manipulálása, és még távoli hozzáférést is biztosít az eszköz kamerájához.

Mit lehet tenni?

A BabbleLoader és más betöltők által használt kifinomult kijátszási technikák miatt előfordulhat, hogy a hagyományos víruskereső megoldások önmagukban nem elegendőek. A szervezeteknek és egyéneknek többrétegű biztonsági megközelítést kell alkalmazniuk, amely magában foglalja:

  • Viselkedéselemző eszközök : A betöltőkkel kapcsolatos rendellenes viselkedés észlelése.
  • Endpoint Detection and Response (EDR) : A gyanús tevékenységek valós idejű megfigyelése és mérséklése.
  • Alkalmazotti képzés : Az adathalász taktikák felismerése és a szoftverek ellenőrizetlen forrásból történő letöltésének elkerülése.

Ahogy a rosszindulatú programok betöltői folyamatosan fejlődnek, az éberség és a proaktív magatartás elengedhetetlen az újonnan megjelenő fenyegetések meghiúsításához. A BabbleLoader felfedezése aláhúzza a robusztus kiberbiztonsági védelem és a kiberbűnözők taktikájához való folyamatos alkalmazkodás szükségességét.

Zane -Ig
November 19, 2024
Rosszindulatú
Magyar
November 19, 2024
Rosszindulatú

Népszerű Bejegyzések

Mi az OperaGXSetup.exe fájl, és rosszindulatú?

11 months ezelőtt

Az Eporner.com és miért kockázatos a túl sok előugró ablak?

12 days ezelőtt

Vegye figyelembe: Valaki felvette Önt helyreállítási...

10 months ezelőtt

HackTool:Win32/Crack: rosszindulatú fenyegetés, amely súlyosan...

7 months ezelőtt

Potenciálisan komoly fenyegetés: Trojan:Win32/Suschil!rfn

19 days ezelőtt

Mi a Packunwan trójai faló fenyegetés, és hogyan érintheti a...

11 months ezelőtt
Magyar
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.