BabbleLoader 恶意软件是一种隐秘威胁,可传播 WhiteSnake 和 Meduza 窃取程序
网络安全研究人员发现了一种新型、高度隐蔽的恶意软件加载程序 BabbleLoader,它被用来传播两个臭名昭著的信息窃取恶意软件家族:WhiteSnake 和 Meduza。BabbleLoader 的高级防御机制使其成为一种强大的威胁,能够绕过防病毒解决方案和沙盒环境,将恶意软件负载直接传送到系统内存中。
Table of Contents
谁成了攻击目标?
BabbleLoader 已部署在针对英语和俄语用户的攻击活动中。它主要通过两种特定策略来引诱受害者:
- 伪装成破解软件来吸引普通用户。
- 伪装成合法的会计软件,针对商业专业人士,特别是财务和行政人员。
这些策略凸显了 BabbleLoader 的多功能性以及威胁行为者根据特定受害者特征定制恶意软件的日益复杂的能力。
恶意软件加载程序的威胁日益严重
像 BabbleLoader 这样的加载器是许多恶意软件攻击的第一步,充当勒索软件、窃取程序和其他恶意负载的传递机制。它们能够绕过传统防御,是因为它们采用了先进的反分析功能,包括反沙盒和反调试技术。
近年来,Dolphin Loader、Emmental、FakeBat 和 Hijack Loader 等新型加载器系列不断涌现,用于传播各种恶意软件,包括 CryptBot、Lumma Stealer、SectopRAT、SmokeLoader 和 Ursnif。BabbleLoader 进入这个拥挤的市场,其独特且高度隐蔽的设计引人注目。
为什么BabbleLoader脱颖而出
BabbleLoader 采用了几种复杂的规避技术,使其难以被检测和分析:
- 垃圾代码和变形转换:这些技术改变了加载器的结构和流程,以绕过基于签名和行为的检测系统。
- 运行时函数解析:函数仅在运行时解析,从而绕过静态分析方法。
- 导致崩溃的代码:过多的垃圾代码可能会导致反汇编或反编译工具(例如 IDA、Ghidra 和 Binary Ninja)崩溃。
- 不断变化:BabbleLoader 的每个版本都有独特的代码、字符串、元数据、加密和控制流,确保没有两个样本是相同的。
这种持续的变化迫使基于人工智能的检测模型重新学习模式,常常导致漏检或误报。
BabbleLoader 如何运作
BabbleLoader 的核心工作是加载 shellcode,解密并执行其他恶意代码。此过程涉及 Donut 加载器,用于解压并部署最终的恶意软件负载,例如 WhiteSnake 或 Meduza 窃取程序。通过屏蔽这些负载,BabbleLoader 可让威胁行为者减少更换受损基础设施所花费的资源。
更广泛的恶意软件趋势
BabbleLoader 的出现与恶意软件生态系统的其他最新发展相吻合:
- LodaRAT :Rapid7 详细介绍的一项新活动揭示了 LodaRAT 的更新版本,旨在从 Microsoft Edge 和 Brave 等浏览器窃取 cookie 和密码。LodaRAT 还可以收集敏感数据、传播其他恶意软件并对受感染系统授予远程控制权。
- Mr.Skeleton RAT :这种基于 njRAT 的恶意软件提供键盘记录、远程 shell 执行、文件和注册表操作,甚至远程访问设备摄像头等功能。
我们能做什么?
鉴于 BabbleLoader 和其他加载器使用的复杂规避技术,仅靠传统的防病毒解决方案可能不够。组织和个人应采用多层次的安全方法,包括:
- 行为分析工具:检测与加载器相关的异常行为。
- 端点检测和响应 (EDR) :实时监控和缓解可疑活动。
- 员工培训:识别网络钓鱼策略并避免从未经验证的来源下载软件。
随着恶意软件加载程序不断演变,保持警惕和主动性对于阻止这些新出现的威胁至关重要。BabbleLoader 的发现强调了强大的网络安全防御和不断适应网络犯罪分子策略的必要性。
