BabbleLoader マルウェアは WhiteSnake や Meduza スティーラーを配信するステルス型の脅威です

サイバーセキュリティ研究者は、新しい、非常に回避力の高いマルウェアローダー BabbleLoader を発見しました。これは、悪名高い 2 つの情報窃盗マルウェアファミリである WhiteSnake と Meduza の配布に使用されています。BabbleLoader の高度な防御メカニズムにより、ウイルス対策ソリューションやサンドボックス環境を回避してマルウェアペイロードを直接システムメモリに配信できる強力な脅威となっています。

Table of Contents

誰がターゲットになっているのか?

BabbleLoader は、英語とロシア語の両方を話す個人をターゲットにしたキャンペーンで展開されています。主に、次の 2 つの特定の戦術で被害者を誘い込みます。

クラックされたソフトウェアを装って一般ユーザーを引き付けます。
正規の会計ソフトウェアを装って、特に財務や管理部門のビジネス専門家をターゲットにします。

これらの戦術は、BabbleLoader の汎用性と、特定の被害者のプロファイルに合わせてマルウェアをカスタマイズする脅威アクターの高度化の進行を浮き彫りにしています。

マルウェアローダーの脅威の増大

BabbleLoader のようなローダーは、多くのマルウェア攻撃の最初のステップを表し、ランサムウェア、スティーラー、その他の悪意のあるペイロードの配信メカニズムとして機能します。従来の防御を回避する能力は、アンチサンドボックスやアンチデバッグ技術などの高度なアンチ分析機能を組み込むことに由来しています。

近年、CryptBot、Lumma Stealer、SectopRAT、SmokeLoader、Ursnif など、さまざまなマルウェアを配信するために使用される、Dolphin Loader、Emmental、FakeBat、Hijack Loader などの新しいローダーファミリが急増しています。この混雑した市場に BabbleLoader が参入したのは、そのユニークで非常に回避性の高い設計が理由です。

BabbleLoaderが優れている理由

BabbleLoader は、検出と分析を困難にするいくつかの高度な回避手法を採用しています。

ジャンクコードとメタモーフィック変換: これらの手法は、ローダーの構造とフローを変更して、シグネチャベースと動作ベースの両方の検出システムを回避します。
実行時関数解決: 関数は実行時にのみ解決され、静的分析方法を回避します。
クラッシュを誘発するコード: ジャンクコードが多すぎると、IDA、Ghidra、Binary Ninja などの逆アセンブリツールや逆コンパイルツールがクラッシュする可能性があります。
一定のバリエーション: BabbleLoader の各ビルドには、固有のコード、文字列、メタデータ、暗号化、および制御フローが含まれており、2 つのサンプルが同一になることがありません。

この継続的な変化により、AI ベースの検出モデルはパターンを再学習する必要があり、検出漏れや誤検知につながることがよくあります。

BabbleLoaderの動作

BabbleLoader の本質的な役割は、追加の悪意のあるコードを復号して実行するシェルコードをロードすることです。このプロセスには、WhiteSnake や Meduza スティーラーなどの最終的なマルウェアペイロードを解凍して展開する Donut ローダーが関与します。これらのペイロードを保護することで、BabbleLoader は、侵害されたインフラストラクチャの置き換えに費やすリソースを脅威アクターが削減できるようにします。

マルウェアの幅広い傾向

BabbleLoader の出現は、マルウェアエコシステムにおける最近の他の動向と一致しています。

LodaRAT : Rapid7 が詳細を説明した新しいキャンペーンでは、Microsoft Edge や Brave などのブラウザからクッキーやパスワードを盗むように設計された LodaRAT の更新バージョンが明らかになりました。LodaRAT は機密データの収集、追加のマルウェアの配信、感染したシステムのリモート制御も実行できます。
Mr.Skeleton RAT : njRAT をベースにしたこのマルウェアは、キーロギング、リモートシェル実行、ファイルおよびレジストリの操作、さらにはデバイスのカメラへのリモートアクセスなどの機能を提供します。