Malware BabbleLoader to ukryte zagrożenie, które dostarcza WhiteSnake i Meduza Stealers

Badacze cyberbezpieczeństwa odkryli nowy i niezwykle nieuchwytny program ładujący złośliwe oprogramowanie, BabbleLoader, który jest używany do dystrybucji dwóch znanych rodzin złośliwego oprogramowania kradnących informacje: WhiteSnake i Meduza. Zaawansowane mechanizmy obronne BabbleLoadera sprawiają, że jest to potężne zagrożenie, które może ominąć rozwiązania antywirusowe i środowiska piaskownicy, aby dostarczać ładunki złośliwego oprogramowania bezpośrednio do pamięci systemowej.

Kto jest celem ataków?

BabbleLoader został wdrożony w kampaniach skierowanych zarówno do osób anglojęzycznych, jak i rosyjskojęzycznych. Wabi ofiary głównie za pomocą dwóch konkretnych taktyk:

  • Maskowanie się pod postacią zhakowanego oprogramowania w celu przyciągnięcia zwykłych użytkowników.
  • Podszywa się pod legalne oprogramowanie księgowe, aby naciągnąć profesjonalistów biznesowych, w szczególności tych z branży finansowej i administracyjnej.

Tego typu taktyki podkreślają wszechstronność BabbleLoadera i rosnącą umiejętność cyberprzestępców w dostosowywaniu złośliwego oprogramowania do profili konkretnych ofiar.

Rosnące zagrożenie ze strony programów ładujących złośliwe oprogramowanie

Ładowarki takie jak BabbleLoader stanowią pierwszy krok w wielu atakach malware, działając jako mechanizmy dostarczania ransomware, stealerów i innych złośliwych ładunków. Ich zdolność do omijania tradycyjnych zabezpieczeń wynika z włączenia zaawansowanych funkcji antyanalizy, w tym technik antysandboxingu i antydebugowania.

W ostatnich latach nastąpił rozkwit nowych rodzin programów ładujących — takich jak Dolphin Loader, Emmental, FakeBat i Hijack Loader — używanych do dostarczania szerokiej gamy złośliwego oprogramowania, w tym CryptBot, Lumma Stealer, SectopRAT, SmokeLoader i Ursnif. Wejście BabbleLoadera na ten zatłoczony rynek wyróżnia się unikalną i wysoce unikalną konstrukcją.

Dlaczego BabbleLoader wyróżnia się

BabbleLoader wykorzystuje kilka zaawansowanych technik omijania zabezpieczeń, które utrudniają jego wykrycie i analizę:

  • Kod śmieciowy i transformacje metamorficzne : Techniki te zmieniają strukturę i przepływ pracy programu ładującego, aby ominąć systemy wykrywania oparte na sygnaturach i behawioralne.
  • Rozwiązywanie funkcji w czasie wykonywania : Funkcje są rozwiązywane tylko w czasie wykonywania, co omija metody analizy statycznej.
  • Kod powodujący awarie : Nadmiar niepotrzebnego kodu może powodować awarie narzędzi do dezasemblacji i dekompilacji, takich jak IDA, Ghidra i Binary Ninja.
  • Stała zmienność : Każda wersja BabbleLoadera ma unikalny kod, ciągi znaków, metadane, szyfrowanie i przepływ sterowania, co gwarantuje, że nie ma dwóch identycznych próbek.

Ciągłe zmiany zmuszają modele wykrywania oparte na sztucznej inteligencji do ponownego uczenia się wzorców, co często prowadzi do pominiętych wykryć lub wyników fałszywie dodatnich.

Jak działa BabbleLoader

W swojej istocie zadaniem BabbleLoadera jest ładowanie kodu powłoki, który odszyfrowuje i wykonuje dodatkowy złośliwy kod. Proces ten obejmuje ładowarkę Donut, która rozpakowuje i wdraża ostateczny ładunek złośliwego oprogramowania, taki jak WhiteSnake lub Meduza stealer. Dzięki ochronie tych ładunków BabbleLoader pozwala podmiotom zagrażającym zmniejszyć zasoby przeznaczane na wymianę naruszonej infrastruktury.

Szersze trendy dotyczące złośliwego oprogramowania

Pojawienie się BabbleLoadera zbiega się z innymi niedawnymi wydarzeniami w ekosystemie złośliwego oprogramowania:

  • LodaRAT : Nowa kampania opisana przez Rapid7 ujawniła zaktualizowane wersje LodaRAT zaprojektowane do kradzieży plików cookie i haseł z przeglądarek takich jak Microsoft Edge i Brave. LodaRAT może również zbierać poufne dane, dostarczać dodatkowe złośliwe oprogramowanie i udzielać zdalnej kontroli nad zainfekowanymi systemami.
  • Mr.Skeleton RAT : To złośliwe oprogramowanie, bazujące na njRAT, oferuje takie możliwości, jak rejestrowanie naciśnięć klawiszy, zdalne wykonywanie powłoki, manipulowanie plikami i rejestrem, a nawet zdalny dostęp do kamery urządzenia.

Co można zrobić?

Biorąc pod uwagę wyrafinowane techniki unikania stosowane przez BabbleLoader i inne programy ładujące, tradycyjne rozwiązania antywirusowe same w sobie mogą nie wystarczyć. Organizacje i osoby powinny przyjąć wielowarstwowe podejście do bezpieczeństwa, które obejmuje:

  • Narzędzia analizy behawioralnej : służą do wykrywania nieprawidłowego zachowania związanego z ładowarkami.
  • Endpoint Detection and Response (EDR) : monitorowanie i łagodzenie podejrzanej aktywności w czasie rzeczywistym.
  • Szkolenie pracowników : rozpoznawanie metod phishingu i unikanie pobierania oprogramowania z niezweryfikowanych źródeł.

W miarę jak programy ładujące złośliwe oprogramowanie wciąż ewoluują, zachowanie czujności i proaktywności jest niezbędne do powstrzymania tych pojawiających się zagrożeń. Odkrycie BabbleLoadera podkreśla potrzebę solidnych zabezpieczeń cybernetycznych i ciągłej adaptacji do taktyk cyberprzestępców.

Do Zane
November 19, 2024
Złośliwe oprogramowanie
Polski
November 19, 2024
Złośliwe oprogramowanie

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.