BabbleLoader-Malware

Von Mezo in Malware

Übersetzen Sie in:

Experten für Cybersicherheit haben eine neue, äußerst verdeckte Bedrohung namens BabbleLoader identifiziert, bei der beobachtet wurde, dass sie Tools zum Diebstahl von Informationen wie White Snake und Meduza einsetzt.

BabbleLoader verwendet fortschrittliche Ausweichtaktiken und verfügt über robuste Abwehrmechanismen, um Antivirenprogramme und Sandbox-Umgebungen zu umgehen. Sein Zweck besteht darin, Stealer direkt in den Speicher zu laden. Berichten zufolge wurde BabbleLoader in mehreren Kampagnen eingesetzt, die sich an englisch- und russischsprachige Zielgruppen richteten. Diese Operationen richten sich in erster Linie an Benutzer, die nach geknackter Software suchen, sowie an Geschäftsleute in Finanz- und Verwaltungsfunktionen und tarnen sich als Buchhaltungssoftware.

Inhaltsverzeichnis

Die Rolle von Loadern bei Malware-Angriffen

Loader sind zu einer weit verbreiteten Methode geworden, um Bedrohungen wie Stealer und Ransomware zu verbreiten, und dienen oft als erste Phase eines Angriffs. Sie sind darauf ausgelegt, die Erkennung durch herkömmliche Antivirenprogramme zu umgehen, indem sie umfangreiche Anti-Analyse- und Anti-Sandboxing-Techniken integrieren.

Dieser Trend zeigt sich in der kontinuierlichen Entstehung neuer Loader-Familien in den letzten Jahren. Beispiele hierfür sind Dolphin Loader, Emmental, FakeBat und Hijack Loader , die zur Verteilung verschiedener Payloads eingesetzt werden, darunter CryptBot , Lumma Stealer , SectopRAT , SmokeLoader und Ursnif .

BabbleLoader ist mit zahlreichen Ausweichtechniken ausgestattet

BabbleLoader zeichnet sich durch seine ausgeklügelten Ausweichtechniken aus, mit denen sowohl herkömmliche als auch KI-gesteuerte Erkennungssysteme getäuscht werden können. Zu diesen Methoden gehören die Verwendung von Junk-Code und metamorphen Transformationen, die die Struktur und den Ausführungsfluss des Loaders ändern, um signaturbasierte und verhaltensbasierte Analysen zu umgehen.

Der Loader vermeidet statische Analysen, indem er kritische Funktionen erst zur Laufzeit auflöst und Maßnahmen ergreift, um Sandbox-basierte Prüfungen zu verhindern. Darüber hinaus enthält er übermäßige Mengen an bedeutungslosem Code, der Disassemblierungs- oder Dekompilierungstools wie IDA, Ghidra und Binary Ninja überfordern und zum Absturz bringen soll, sodass eine manuelle Analyse erforderlich wird.

Jede Iteration von BabbleLoader ist einzigartig gestaltet und weist unterschiedliche Zeichenfolgen, Metadaten, Code, Hashes, Verschlüsselungsmethoden und Kontrollflüsse auf. Während einzelne Beispiele minimale Codeausschnitte gemeinsam haben, sind ihre Strukturen größtenteils einzigartig. Sogar Dateimetadaten werden zufällig ausgewählt, um die Muster noch weiter zu verschleiern.

Diese kontinuierliche Variation zwingt KI-Erkennungsmodelle zu einer ständigen Anpassung, was aufgrund der schnellen und unvorhersehbaren Änderungen im Design des Laders häufig zu verpassten Erkennungen oder falschen Positivergebnissen führt.

BabbleLoader ebnet den Weg für weitere Systemkompromittierungen

BabbleLoader ist im Kern darauf ausgelegt, einen Shellcode zu laden, der anschließend entschlüsselt und einen Donut-Loader liefert, der dann die Stealer-Malware entpackt und aktiviert.

Je effektiver Loader die endgültigen Payloads schützen können, desto weniger Ressourcen müssen Angreifer in die Rotation kompromittierter Infrastruktur investieren. BabbleLoader verwendet verschiedene Techniken, um sich vor Entdeckung zu schützen und so in der überfüllten Loader- und Crypter-Landschaft konkurrenzfähig zu bleiben.