Siber güvenlik araştırmacıları, WhiteSnake ve Meduza gibi bilgi hırsızı aileleri dağıtırken gözlemlenen BabbleLoader adlı yeni bir gizli kötü amaçlı yazılım yükleyicisine ışık tuttu.
Intezer güvenlik araştırmacısı Ryan Robinson, BabbleLoader’ın “savunma mekanizmalarıyla dolu, hırsızları belleğe göndermek için antivirüs ve korumalı alan ortamlarını atlamak üzere tasarlanmış son derece kaçamak bir yükleyici” olduğunu söylüyor. söz konusu Pazar günü yayınlanan bir raporda.
Kanıtlar, yükleyicinin hem İngilizce hem de Rusça konuşan bireyleri hedef alan çeşitli kampanyalarda kullanıldığını, öncelikle jenerik crackli yazılım arayan kullanıcıların yanı sıra finans ve yönetim alanındaki iş profesyonellerini muhasebe yazılımı olarak göstererek ayırdığını gösteriyor.
Yükleyiciler, hırsızlar veya fidye yazılımları gibi kötü amaçlı yazılımları dağıtmak için giderek yaygınlaşan bir yöntem haline geldi ve genellikle bir dizi anti-analiz ve anti-sandboxing özelliklerini birleştirerek geleneksel antivirüs savunmalarını atlatacak şekilde bir saldırı zincirinin ilk aşaması olarak hareket ediyor.
Bu, son yıllarda ortaya çıkan yeni yükleyici ailelerinin istikrarlı akışıyla kanıtlanmaktadır. Bu, aşağıdakileri içerir ancak bunlarla sınırlı değildir: Yunus YükleyiciEmmenhtal, FakeBat ve Hijack Loader, CryptBot, Lumma Stealer, SectopRAT gibi çeşitli yükleri yaymak için kullanılmışlardır. Duman Yükleyicive Ursnif.
BabbleLoader’ı öne çıkaran şey, hem geleneksel hem de yapay zeka tabanlı algılama sistemlerini kandırabilecek çeşitli kaçınma tekniklerini bünyesinde barındırmasıdır. Bu, imza tabanlı ve davranışsal tespitleri atlamak için yükleyicinin yapısını ve akışını değiştiren önemsiz kod ve metamorfik dönüşümlerin kullanımını kapsar.
Ayrıca, korumalı alan ortamlarında analizi engellemek için adımlar atmanın yanı sıra gerekli işlevleri yalnızca çalışma zamanında çözerek statik analizin üstesinden gelir. Ayrıca anlamsız, gürültülü kodun aşırı eklenmesi, IDA, Ghidra ve Binary Ninja gibi sökme veya kaynak koda dönüştürme araçlarının çökmesine neden olarak manuel analiz yapılmasını zorunlu kılar.
Robinson, “Yükleyicinin her yapısının benzersiz dizeleri, benzersiz meta verileri, benzersiz kodu, benzersiz karmaları, benzersiz şifrelemesi ve benzersiz bir kontrol akışı olacak” dedi. “Her örnek, yalnızca birkaç paylaşılan kod parçacığıyla yapısal olarak benzersizdir. Dosyanın meta verileri bile her örnek için rastgele seçilmiştir.”
“Kod yapısındaki bu sürekli değişiklik, yapay zeka modellerini sürekli olarak neyi arayacaklarını yeniden öğrenmeye zorluyor; bu, çoğu zaman gözden kaçan tespitlere veya yanlış pozitiflere yol açan bir süreç.”
Yükleyici, özünde, şifresi çözülmüş kodun önünü açan kabuk kodunun yüklenmesinden sorumludur; Donut yükleyici, daha sonra hırsız kötü amaçlı yazılımın paketini açar ve çalıştırır.
Robinson, “Yükleyiciler nihai yükleri ne kadar iyi koruyabilirse, tehdit aktörlerinin yanan altyapıyı döndürmek için harcaması gereken kaynak miktarı da o kadar az olacak” diye tamamladı. “BabbleLoader, kalabalık bir yükleyici/şifreleyici pazarında rekabet edebilmek için mümkün olduğu kadar çok sayıda tespit biçimine karşı koruma sağlayacak önlemler alıyor.”
Bu gelişme, Rapid7’nin, her türlü hassas veriyi toplamanın, daha fazla kötü amaçlı yazılım dağıtmanın ve ele geçirilen yazılımların uzaktan kontrolünü sağlamanın yanı sıra, Microsoft Edge ve Brave’den çerezleri ve parolaları çalmak üzere donatılmış yeni bir LodaRAT sürümünü dağıtan yeni bir kötü amaçlı yazılım kampanyasını ayrıntılarıyla açıklamasıyla ortaya çıktı. ev sahipliği yapıyor. Oldu aktif Eylül 2016’dan bu yana.
Siber güvenlik şirketi söz konusu “Donut loader ve Cobalt Strike tarafından dağıtılan yeni sürümleri tespit etti” ve “AsyncRAT, Remcos, XWorm ve daha fazlası gibi diğer kötü amaçlı yazılım ailelerinin bulaştığı sistemlerde LodaRAT’ı gözlemledi.” Bununla birlikte, bu enfeksiyonlar arasındaki kesin ilişki belirsizliğini koruyor.
Aynı zamanda keşfi takip ediyor Bay İskelet RATYeraltı siber suçlarında reklamı yapılan ve “uzaktan erişim ve masaüstü işlemleri, dosya/klasör ve kayıt defteri manipülasyonu, uzaktan kabuk yürütme, tuş günlüğü tutma ve cihazların uzaktan kontrolü” işlevleriyle birlikte gelen, njRAT tabanlı yeni bir kötü amaçlı yazılım. kamera.”