„BabbleLoader“ kenkėjiška programa yra slapta grėsmė, kuri pristato „WhiteSnake“ ir „Meduza“ vagystes

Kibernetinio saugumo tyrinėtojai atskleidė naują ir labai vengiantį kenkėjiškų programų įkroviklį „BabbleLoader“, kuris naudojamas platinti dvi liūdnai pagarsėjusias informaciją vagiančių kenkėjiškų programų šeimas: „WhiteSnake“ ir „Meduza“. Dėl pažangių „BabbleLoader“ gynybinių mechanizmų jis kelia stiprią grėsmę, galinčią apeiti antivirusinius sprendimus ir smėlio dėžės aplinkas, kad kenkėjiškų programų apkrovos būtų nukreiptos tiesiai į sistemos atmintį.

Kas yra nukreiptas?

„BabbleLoader“ buvo įdiegta kampanijose, skirtose tiek angliškai, tiek rusakalbiams asmenims. Tai pirmiausia vilioja aukas dviem konkrečiomis taktikomis:

• Užmaskuojama kaip nulaužta programinė įranga, kad pritrauktų atsitiktinius vartotojus.
• Apsimeta teisėta apskaitos programine įranga, skirta verslo profesionalams, ypač finansų ir administravimo specialistams.

Šios taktikos pabrėžia „BabbleLoader“ universalumą ir didėjantį grėsmės subjektų rafinuotumą pritaikant kenkėjiškas programas pagal konkrečius aukų profilius.

Didėjanti kenkėjiškų programų krovėjų grėsmė

Įkrovikliai, tokie kaip BabbleLoader, yra pirmasis daugelio kenkėjiškų programų atakų žingsnis, veikiantis kaip išpirkos reikalaujančių programų, vagių ir kitų kenksmingų krovinių pristatymo mechanizmai. Jų gebėjimas apeiti tradicines gynybos priemones kyla dėl pažangių antianalizės funkcijų, įskaitant kovos su smėlio dėže ir derinimo metodus.

Pastaraisiais metais daugėja naujų kroviklių šeimų, tokių kaip „Dolphin Loader“, „Emmental“, „FakeBat“ ir „Hijack Loader“, naudojamų platinti įvairioms kenkėjiškoms programoms, įskaitant „CryptBot“, „Lumma Stealer“, „SectopRAT“, „SmokeLoader“ ir „Ursnif“. „BabbleLoader“ atėjimas į šią perpildytas rinką išsiskiria unikaliu ir labai vengiamu dizainu.

Kodėl „BabbleLoader“ išsiskiria

„BabbleLoader“ naudoja keletą sudėtingų vengimo būdų, dėl kurių sunku aptikti ir analizuoti:

• Nepageidaujamas kodas ir metamorfinės transformacijos : šie metodai pakeičia įkroviklio struktūrą ir srautą, kad būtų apeinama tiek parašu pagrįsta, tiek elgsenos aptikimo sistema.
• Vykdymo laiko funkcijų skiriamoji geba : funkcijos išsprendžiamos tik vykdymo metu, apeinant statinės analizės metodus.
• Strigtį sukeliantis kodas : dėl per didelio nepageidaujamo kodo gali sugesti išardymo arba dekompiliavimo įrankiai, tokie kaip IDA, Ghidra ir Binary Ninja.
• Nuolatinis variantas : kiekviena „BabbleLoader“ versija turi unikalų kodą, eilutes, metaduomenis, šifravimą ir valdymo srautą, užtikrinantį, kad nėra dviejų identiškų pavyzdžių.

Dėl šios nuolatinės variacijos AI pagrįsti aptikimo modeliai verčia mokytis iš naujo, o tai dažnai lemia praleistus aptikimus arba klaidingus teigiamus rezultatus.

Kaip veikia BabbleLoader

Iš esmės „BabbleLoader“ užduotis yra įkelti apvalkalo kodą, kuris iššifruoja ir paleidžia papildomą kenkėjišką kodą. Šis procesas apima „Donut“ įkroviklį, kuris išpakuoja ir diegia galutinį kenkėjiškų programų naudingąjį apkrovą, pvz., „WhiteSnake“ arba „Meduza“ vagystę. Apsaugodama šiuos naudingus krovinius, „BabbleLoader“ leidžia grėsmės dalyviams sumažinti išteklius, išleistus pažeistai infrastruktūrai pakeisti.

Platesnės kenkėjiškų programų tendencijos

„BabbleLoader“ atsiradimas sutampa su kitais naujausiais kenkėjiškų programų ekosistemos pokyčiais:

• „LodaRAT“ : nauja „Rapid7“ išsami kampanija atskleidė atnaujintas „LodaRAT“ versijas, skirtas pavogti slapukus ir slaptažodžius iš tokių naršyklių kaip „Microsoft Edge“ ir „Brave“. „LodaRAT“ taip pat gali rinkti neskelbtinus duomenis, pateikti papildomų kenkėjiškų programų ir nuotoliniu būdu valdyti užkrėstas sistemas.
• Mr.Skeleton RAT : Ši kenkėjiška programa, pagrįsta njRAT, siūlo tokias funkcijas kaip klaviatūros registravimas, nuotolinis apvalkalo vykdymas, failų ir registro manipuliavimas ir netgi nuotolinė prieiga prie įrenginio kameros.

Ką galima padaryti?

Atsižvelgiant į sudėtingus „BabbleLoader“ ir kitų įkroviklių naudojamus vengimo būdus, vien tradicinių antivirusinių sprendimų gali nepakakti. Organizacijos ir asmenys turėtų laikytis daugiasluoksnio požiūrio į saugumą, kuris apima:

• Elgesio analizės įrankiai : aptikti neįprastą elgesį, susijusį su krautuvais.
• Endpoint Detection and Response (EDR) : stebėti ir sumažinti įtartiną veiklą realiuoju laiku.
• Darbuotojų mokymas : atpažinti sukčiavimo taktiką ir vengti programinės įrangos atsisiuntimo iš nepatvirtintų šaltinių.

Kadangi kenkėjiškų programų krovikliai ir toliau tobulėja, norint užkirsti kelią šioms kylančioms grėsmėms, būtina išlikti budriems ir iniciatyviems. „BabbleLoader“ atradimas pabrėžia tvirtos kibernetinio saugumo apsaugos ir nuolatinio prisitaikymo prie kibernetinių nusikaltėlių taktikos poreikį.