Il malware BabbleLoader è una minaccia subdola che diffonde ladri di virus WhiteSnake e Meduza

I ricercatori di sicurezza informatica hanno scoperto un nuovo e altamente evasivo malware loader, BabbleLoader, che viene utilizzato per distribuire due famigerate famiglie di malware che rubano informazioni: WhiteSnake e Meduza. I meccanismi difensivi avanzati di BabbleLoader lo rendono una minaccia potente in grado di bypassare soluzioni antivirus e ambienti sandbox per distribuire payload di malware direttamente nella memoria di sistema.

Chi è preso di mira?

BabbleLoader è stato utilizzato in campagne mirate a individui di lingua inglese e russa. Attira principalmente le vittime attraverso due tattiche specifiche:

  • Si spaccia per software craccato per attrarre utenti occasionali.
  • Mascherarsi da software di contabilità legittimo per prendere di mira i professionisti aziendali, in particolare quelli nei settori finanza e amministrazione.

Queste tattiche evidenziano la versatilità di BabbleLoader e la crescente abilità degli autori delle minacce nell'adattare il malware a specifici profili di vittime.

La crescente minaccia dei malware loader

Loader come BabbleLoader rappresentano il primo passo in molti attacchi malware, funzionando come meccanismi di distribuzione per ransomware, stealer e altri payload dannosi. La loro capacità di eludere le difese tradizionali deriva dall'incorporazione di funzionalità anti-analisi avanzate, tra cui tecniche anti-sandboxing e anti-debug.

Negli ultimi anni si è assistito a una proliferazione di nuove famiglie di loader, come Dolphin Loader, Emmental, FakeBat e Hijack Loader, utilizzate per distribuire un'ampia gamma di malware, tra cui CryptBot, Lumma Stealer, SectopRAT, SmokeLoader e Ursnif. L'ingresso di BabbleLoader in questo mercato affollato è degno di nota per il suo design unico e altamente evasivo.

Perché BabbleLoader si distingue

BabbleLoader impiega diverse tecniche di elusione sofisticate che rendono difficile il rilevamento e l'analisi:

  • Codice spazzatura e trasformazioni metamorfiche : queste tecniche alterano la struttura e il flusso del caricatore per aggirare sia i sistemi di rilevamento basati sulle firme sia quelli comportamentali.
  • Risoluzione delle funzioni in fase di esecuzione : le funzioni vengono risolte solo in fase di esecuzione, aggirando i metodi di analisi statica.
  • Codice che provoca crash : un codice spazzatura eccessivo può causare il crash di strumenti di disassemblaggio o decompilazione, come IDA, Ghidra e Binary Ninja.
  • Variazione costante : ogni build di BabbleLoader ha codice, stringhe, metadati, crittografia e flusso di controllo unici, garantendo che non esistano due campioni identici.

Questa continua variazione costringe i modelli di rilevamento basati sull'intelligenza artificiale a riapprendere gli schemi, il che spesso comporta rilevamenti mancati o falsi positivi.

Come funziona BabbleLoader

In sostanza, il compito di BabbleLoader è caricare shellcode, che decifra ed esegue codice dannoso aggiuntivo. Questo processo coinvolge un caricatore Donut che decomprime e distribuisce il payload malware finale, come lo stealer WhiteSnake o Meduza. Proteggendo questi payload, BabbleLoader consente agli attori della minaccia di ridurre le risorse spese per sostituire l'infrastruttura compromessa.

Tendenze più ampie del malware

L'emergere di BabbleLoader coincide con altri recenti sviluppi nell'ecosistema del malware:

  • LodaRAT : una nuova campagna dettagliata da Rapid7 ha rivelato versioni aggiornate di LodaRAT progettate per rubare cookie e password da browser come Microsoft Edge e Brave. LodaRAT può anche raccogliere dati sensibili, distribuire malware aggiuntivo e concedere il controllo remoto sui sistemi infetti.
  • Mr.Skeleton RAT : questo malware, basato su njRAT, offre funzionalità quali il keylogging, l'esecuzione di shell remote, la manipolazione di file e registri e persino l'accesso remoto alla fotocamera di un dispositivo.

Cosa si può fare?

Date le sofisticate tecniche di evasione utilizzate da BabbleLoader e altri loader, le soluzioni antivirus tradizionali da sole potrebbero non essere sufficienti. Le organizzazioni e gli individui dovrebbero adottare un approccio multistrato alla sicurezza che includa:

  • Strumenti di analisi comportamentale : per rilevare comportamenti anomali associati ai caricatori.
  • Endpoint Detection and Response (EDR) : per monitorare e mitigare le attività sospette in tempo reale.
  • Formazione dei dipendenti : per riconoscere le tattiche di phishing ed evitare di scaricare software da fonti non verificate.

Poiché i malware loader continuano a evolversi, restare vigili e proattivi è essenziale per contrastare queste minacce emergenti. La scoperta di BabbleLoader sottolinea la necessità di solide difese di sicurezza informatica e di un adattamento costante alle tattiche dei criminali informatici.

Entro il Zane
November 19, 2024
Malware
Italiano
November 19, 2024
Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.