BabbleLoader 惡意軟體是一種傳播 WhiteSnake 和 Meduza 竊取者的隱形威脅
網路安全研究人員發現了一種新的高度規避的惡意軟體載入程式 BabbleLoader,它被用來分發兩個臭名昭著的資訊竊取惡意軟體家族:WhiteSnake 和 Meduza。 BabbleLoader 的先進防禦機制使其成為強大的威脅,能夠繞過防毒解決方案和沙箱環境,將惡意軟體有效負載直接傳遞到系統記憶體中。
Table of Contents
誰是目標?
BabbleLoader 已部署在針對英語和俄語個人的活動中。它主要透過兩種具體策略來引誘受害者:
- 將自己偽裝成破解軟體來吸引臨時使用者。
- 偽裝成合法的會計軟體來攻擊商業專業人士,特別是財務和管理領域的專業人士。
這些策略凸顯了 BabbleLoader 的多功能性以及威脅行為者在根據特定受害者資料自訂惡意軟體方面日益成熟的技術。
惡意軟體載入程式日益增長的威脅
像 BabbleLoader 這樣的載入器代表了許多惡意軟體攻擊的第一步,充當勒索軟體、竊取程式和其他惡意負載的傳遞機制。它們繞過傳統防禦的能力源自於結合了先進的反分析功能,包括反沙箱和反調試技術。
近年來,新的加載器系列(例如 Dolphin Loader、Emmental、FakeBat 和 Hijack Loader)激增,用於傳播各種惡意軟體,包括 CryptBot、Lumma Stealer、SectopRAT、SmokeLoader 和 Ursnif。 BabbleLoader 進入這個擁擠的市場以其獨特且高度迴避的設計而聞名。
為什麼 BabbleLoader 脫穎而出
BabbleLoader 採用了多種複雜的規避技術,使其難以偵測與分析:
- 垃圾程式碼和變形轉換:這些技術會改變載入程式的結構和流程,以繞過基於簽章和行為偵測系統。
- 運行時函數解析:函數僅在運行時解析,繞過靜態分析方法。
- 導致崩潰的程式碼:過多的垃圾程式碼可能會導致反彙編或反編譯工具(例如 IDA、Ghidra 和 Binary Ninja)崩潰。
- 不斷變化:BabbleLoader 的每個版本都有獨特的程式碼、字串、元資料、加密和控制流,確保沒有兩個樣本是相同的。
這種持續的變化迫使基於人工智慧的檢測模型重新學習模式,通常會導致漏檢或誤報。
BabbleLoader 是如何運作的
BabbleLoader 的核心工作是載入 shellcode,從而解密並執行其他惡意程式碼。此過程涉及一個 Donut 載入程序,用於解壓縮並部署最終的惡意軟體負載,例如 WhiteSnake 或 Meduza 竊取程式。透過屏蔽這些有效負載,BabbleLoader 允許威脅參與者減少替換受損基礎設施所花費的資源。
更廣泛的惡意軟體趨勢
BabbleLoader 的出現與惡意軟體生態系統的其他最新發展相吻合:
- LodaRAT :Rapid7 詳細介紹的一項新活動揭示了 LodaRAT 的更新版本,旨在從 Microsoft Edge 和 Brave 等瀏覽器竊取 cookie 和密碼。 LodaRAT 還可以收集敏感資料、傳播其他惡意軟體並對受感染的系統進行遠端控制。
- Mr.Skeleton RAT :此惡意軟體基於 njRAT,提供鍵盤記錄、遠端 shell 執行、檔案和登錄操作,甚至遠端存取設備攝影機等功能。
可以做什麼?
鑑於 BabbleLoader 和其他加載程式使用的複雜規避技術,僅傳統的防毒解決方案可能還不夠。組織和個人應採用多層安全方法,包括:
- 行為分析工具:偵測與載入程式相關的異常行為。
- 端點偵測與回應 (EDR) :即時監控和緩解可疑活動。
- 員工培訓:識別網路釣魚策略並避免從未經驗證的來源下載軟體。
隨著惡意軟體載入程式的不斷發展,保持警惕和積極主動對於阻止這些新興威脅至關重要。 BabbleLoader 的發現強調了強大的網路安全防禦和不斷適應網路犯罪分子策略的必要性。
