Istraživači cyber sigurnosti rasvijetlili su novi tajni učitavač malicioznog softvera pod nazivom BabbleLoader koji je u divljini primijećen kako isporučuje porodice Stealers informacija kao što su WhiteSnake i Meduza .
BabbleLoader je “ekstremno izbjegavajući učitavač, prepun odbrambenih mehanizama, koji je dizajniran da zaobiđe antivirusna i sandbox okruženja kako bi isporučio kradljivce u memoriju”, rekao je istraživač sigurnosti Intezera Ryan Robinson u izvještaju objavljenom u nedjelju.
Dokazi pokazuju da se loader koristi u nekoliko kampanja koje ciljaju i na pojedince koji govore engleski i ruski, prvenstveno izdvajajući korisnike koji traže generički krekovan softver, kao i poslovne profesionalce u finansijama i administraciji tako što ga predstavljaju kao računovodstveni softver.
Loaderi su postali sve rasprostranjeniji metod za isporuku malicioznog softvera, poput Stealers ili ransomware-a, koji često djeluju kao prva faza u lancu napada na način koji zaobilazi tradicionalnu antivirusnu odbranu uključivanjem mnoštva anti-analize i anti-sandboxing funkcija.
To je dokazano u stalnom toku novih porodica utovarivača koji su se pojavili posljednjih godina. Ovo uključuje, ali nije ograničeno na Dolphin Loader , Emmenhtal , FakeBat i Hijack Loader , između ostalih, koji su korišteni za propagiranje različitih korisnih opterećenja kao što su CryptBot, Lumma Stealer, SectopRAT, SmokeLoader i Ursnif.
Ono po čemu se BabbleLoader ističe je to što sadrži razne tehnike izbjegavanja koje mogu zavarati i tradicionalne i sisteme vještačke inteligencije detekcije. Ovo uključuje upotrebu neželjenog koda i metamorfne transformacije koje modificiraju strukturu i tok učitavača kako bi se zaobišle detekcije zasnovane na potpisu i ponašanju.
Takođe zaobilazi statičku analizu rješavanjem potrebnih funkcija samo u vrijeme izvođenja, uz preduzimanje koraka za ometanje analize u okruženjima zaštićenim pješčanim okvirom. Osim toga, prekomjerno dodavanje besmislenog, bučnog koda uzrokuje rušenje alata za rastavljanje ili dekompilaciju kao što su IDA, Ghidra i Binary Ninja, prisiljavajući ručnu analizu.
„Svaka verzija učitavača će imati jedinstvene nizove, jedinstvene metapodatke, jedinstveni kod, jedinstvene hešove, jedinstvenu enkripciju i jedinstveni tok kontrole“, rekao je Robinson. “Svaki uzorak je strukturno jedinstven sa samo nekoliko isječaka zajedničkog koda. Čak su i metapodaci datoteke nasumično raspoređeni za svaki uzorak.”
“Ova stalna varijacija u strukturi koda prisiljava modele vještačke inteligencije da neprestano iznova uče šta da traže – proces koji često dovodi do promašenih detekcija ili lažnih pozitivnih rezultata.”
Učitavač, u svojoj srži, odgovoran je za učitavanje shellcode-a koji zatim utire put dešifrovanom kodu, Donut loader-u, koji, zauzvrat, raspakuje i izvršava maliciozni softver za krađu.
„Što bolje utovarivači mogu zaštititi krajnje korisne terete, manje resursa će hakeri morati potrošiti kako bi rotirali spaljenu infrastrukturu“, zaključio je Robinson. “BabbleLoader poduzima mjere za zaštitu od što više oblika detekcije koliko može, kako bi se natjecao na pretrpanom tržištu loadera/kriptera.”
Razvoj dolazi kada je Rapid7 detaljno predstavio novu kampanju malicioznog softvera koja distribuira novu verziju LodaRAT -a koja je opremljena za krađu kolačića i lozinki od Microsoft Edgea i Bravea, uz prikupljanje svih vrsta osjetljivih podataka, isporuku više malicioznog softvera i davanje daljinske kontrole nad kompromitovanim domaćini. Aktivan je od septembra 2016.
Kompanija za cyber sigurnost je rekla da je “uočila nove verzije koje distribuiraju Donut loader i Cobalt Strike” i da je “promatrala LodaRAT na sistemima zaraženim drugim porodicama malicioznog softvera kao što su AsyncRAT, Remcos, XWorm i drugi”. Međutim, tačan odnos između ovih infekcija ostaje nejasan.
Takođe prati otkriće Mr.Skeleton RAT , novog malicioznog softvera baziranog na njRAT-u, koji se reklamira u podzemlju cyber kriminala i koji dolazi s funkcionalnošću za “daljinski pristup i rad na radnoj površini, manipulaciju datotekama/folderima i registrom, daljinsko izvršavanje ljuske, keylogging , kao i daljinsko upravljanje kamerom uređaja.”
Izvor:The Hacker News
