Вредоносное ПО BabbleLoader — скрытая угроза, распространяющая вредоносные программы WhiteSnake и Meduza

Исследователи кибербезопасности обнаружили новый и очень скользкий загрузчик вредоносных программ BabbleLoader, который используется для распространения двух печально известных семейств вредоносных программ для кражи информации: WhiteSnake и Meduza. Продвинутые защитные механизмы BabbleLoader делают его мощной угрозой, способной обходить антивирусные решения и среды-песочницы для доставки вредоносных программ непосредственно в системную память.

Кто является целью?

BabbleLoader был задействован в кампаниях, нацеленных как на англоговорящих, так и на русскоязычных людей. Он в основном заманивает жертв с помощью двух конкретных тактик:

• Маскировка под взломанное программное обеспечение для привлечения случайных пользователей.
• Маскировка под легальное бухгалтерское программное обеспечение с целью привлечения профессионалов в сфере бизнеса, особенно в сфере финансов и администрирования.

Эти тактики подчеркивают универсальность BabbleLoader и растущую изощренность злоумышленников в адаптации вредоносного ПО к конкретным профилям жертв.

Растущая угроза загрузчиков вредоносных программ

Загрузчики, такие как BabbleLoader, представляют собой первый шаг во многих вредоносных атаках, функционируя как механизмы доставки программ-вымогателей, краж и других вредоносных полезных нагрузок. Их способность обходить традиционные защиты обусловлена включением расширенных функций антианализа, включая методы антипесочницы и антиотладки.

В последние годы наблюдается распространение новых семейств загрузчиков, таких как Dolphin Loader, Emmental, FakeBat и Hijack Loader, которые используются для доставки широкого спектра вредоносных программ, включая CryptBot, Lumma Stealer, SectopRAT, SmokeLoader и Ursnif. Выход BabbleLoader на этот переполненный рынок примечателен его уникальным и очень уклончивым дизайном.

Чем выделяется BabbleLoader

BabbleLoader использует несколько сложных методов уклонения, которые затрудняют его обнаружение и анализ:

• Мусорный код и метаморфические преобразования : эти методы изменяют структуру и поток загрузчика, чтобы обойти как сигнатурные, так и поведенческие системы обнаружения.
• Разрешение функций во время выполнения : функции разрешаются только во время выполнения, обходя методы статического анализа.
• Код, вызывающий сбои : Избыточный мусорный код может привести к сбою инструментов дизассемблирования или декомпиляции, таких как IDA, Ghidra и Binary Ninja.
• Постоянное изменение : каждая сборка BabbleLoader имеет уникальный код, строки, метаданные, шифрование и поток управления, что гарантирует отсутствие двух идентичных образцов.

Эти постоянные изменения заставляют модели обнаружения на основе ИИ заново изучать закономерности, что часто приводит к пропускам обнаружения или ложным срабатываниям.

Как работает BabbleLoader

По сути, работа BabbleLoader заключается в загрузке шелл-кода, который расшифровывает и выполняет дополнительный вредоносный код. Этот процесс включает загрузчик Donut, который распаковывает и развертывает окончательную вредоносную нагрузку, такую как WhiteSnake или Meduza. Защищая эти нагрузки, BabbleLoader позволяет злоумышленникам сократить ресурсы, затрачиваемые на замену скомпрометированной инфраструктуры.

Более общие тенденции вредоносного ПО

Появление BabbleLoader совпало с другими недавними событиями в экосистеме вредоносного ПО:

• LodaRAT : Новая кампания, описанная Rapid7, выявила обновленные версии LodaRAT, предназначенные для кражи файлов cookie и паролей из браузеров, таких как Microsoft Edge и Brave. LodaRAT также может собирать конфиденциальные данные, доставлять дополнительное вредоносное ПО и предоставлять удаленный контроль над зараженными системами.
• Mr.Skeleton RAT : эта вредоносная программа, основанная на njRAT, предлагает такие возможности, как регистрация нажатий клавиш, удаленное выполнение оболочки, манипуляции с файлами и реестром и даже удаленный доступ к камере устройства.

Что можно сделать?

Учитывая сложные методы обхода, используемые BabbleLoader и другими загрузчиками, традиционных антивирусных решений может быть недостаточно. Организациям и отдельным лицам следует принять многоуровневый подход к безопасности, который включает:

• Инструменты поведенческого анализа : для обнаружения аномального поведения, связанного с загрузчиками.
• Обнаружение и реагирование на конечных точках (EDR) : для мониторинга и устранения подозрительной активности в режиме реального времени.
• Обучение сотрудников : распознавать фишинговые атаки и избегать загрузки программного обеспечения из непроверенных источников.

Поскольку вредоносные загрузчики продолжают развиваться, сохранение бдительности и активности имеет важное значение для предотвращения этих новых угроз. Обнаружение BabbleLoader подчеркивает необходимость надежной защиты от киберугроз и постоянной адаптации к тактике киберпреступников.