Eρευνητές στον τομέα της κυβερνοασφάλειας έριξαν φως σε έναν νέο φορτωτή κακόβουλου λογισμικού που ονομάζεται BabbleLoader, ο οποίος παραδίδει οικογένειες infostealer όπως το WhiteSnake και το Meduza.
Δείτε επίσης: Meduza malware: Ποιοι κινδυνεύουν από τον επικίνδυνο stealer;

Το BabbleLoader είναι ένας «εξαιρετικά ικανός φορτωτής, γεμάτος αμυντικούς μηχανισμούς, που έχει σχεδιαστεί για να παρακάμπτει περιβάλλοντα προστασίας από ιούς και sandbox για να μεταφέρει infostealers στη μνήμη», δήλωσε ο ερευνητής ασφαλείας της Intezer, Ryan Robinson, σε μια έκθεση που δημοσιεύθηκε την Κυριακή.
Τα στοιχεία δείχνουν ότι το πρόγραμμα φόρτωσης χρησιμοποιείται σε πολλές καμπάνιες που στοχεύουν τόσο αγγλόφωνα όσο και ρωσόφανα άτομα, ξεχωρίζοντας κυρίως χρήστες που αναζητούν σπασμένο λογισμικό καθώς και επαγγελματίες σε θέματα χρηματοοικονομικών και διοίκησης, περνώντας το ως λογισμικό λογιστικής.
Τα προγράμματα φόρτωσης έχουν γίνει μια ολοένα και πιο διαδεδομένη μέθοδος για την παροχή κακόβουλου λογισμικού, όπως κλέφτες ή ransomware, που συχνά λειτουργούν ως το πρώτο στάδιο σε μια αλυσίδα επίθεσης με τρόπο που παρακάμπτει τις παραδοσιακές άμυνες προστασίας από ιούς ενσωματώνοντας μια σειρά από λειτουργίες κατά της ανάλυσης και κατά του sandboxing.
Δείτε ακόμα: Το Emmenhtal Loader χρησιμοποιεί scripts για τη διάδοση του Lumma και άλλων Malware
Αυτό αποδεικνύεται από τη σταθερή ροή νέων οικογενειών φορτωτών που έχουν εμφανιστεί τα τελευταία χρόνια. Περιλαμβάνουν, μεταξύ άλλων, τα Dolphin Loader, Emmenhtal, FakeBat και Hijack Loader, τα οποία έχουν χρησιμοποιηθεί για τη διάδοση διαφόρων ωφέλιμων φορτίων όπως CryptBot, Lumma Stealer, SectopRAT, SmokeLoader και Ursnif.

Αυτό που κάνει το BabbleLoader να ξεχωρίζει είναι ότι περιλαμβάνει διάφορες τεχνικές αποφυγής που μπορούν να ξεγελάσουν τόσο τα παραδοσιακά όσο και τα συστήματα ανίχνευσης που βασίζονται σε AI. Αυτό περιλαμβάνει τη χρήση ανεπιθύμητου κώδικα και μεταμορφωτικών μετασχηματισμών που τροποποιούν τη δομή και τη ροή του φορτωτή για να παρακάμψουν ανιχνεύσεις βάσει υπογραφών και συμπεριφοράς.
Επίσης, ξεπερνά τη στατική ανάλυση επιλύοντας τις απαραίτητες συναρτήσεις μόνο κατά το χρόνο εκτέλεσης, παράλληλα με τη λήψη μέτρων για την παρεμπόδιση της ανάλυσης σε περιβάλλοντα sandbox. Επιπλέον, η υπερβολική προσθήκη άσκοπου, θορυβώδους κώδικα προκαλεί τη συντριβή εργαλείων αποσυναρμολόγησης όπως το IDA, το Ghidra και το Binary Ninja, αναγκάζοντας μια μη αυτόματη ανάλυση.
Το BabbleLoader, στον πυρήνα του, είναι υπεύθυνο για τη φόρτωση του shellcode που στη συνέχεια ανοίγει το δρόμο για τον αποκρυπτογραφημένο κώδικα, έναν Donut loader, ο οποίος, με τη σειρά του, αποσυσκευάζει και εκτελεί το κακόβουλο λογισμικό infostealer.
Δείτε επίσης: Χάκερ καταχρώνται το Google Ads για την διάδοση του Fakebat malware
Οι φορτωτές κακόβουλου λογισμικού, όπως το BabbleLoader, είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί ειδικά για τη φόρτωση πρόσθετου κακόβουλου λογισμικού σε ένα παραβιασμένο σύστημα. Λειτουργεί ως ενδιάμεσος, παραδίδοντας ωφέλιμα φορτία όπως ransomware, spyware ή trojans σε ανυποψίαστα περιβάλλοντα. Οι φορτωτές συνήθως διεισδύουν στα συστήματα μέσω email ηλεκτρονικού phishing, κατεστραμμένων αρχείων ή εκμεταλλεύομενοι τρωτά σημεία ασφαλείας στο λογισμικό. Μόλις εγκατασταθούν, μπορούν να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας, συγκαλύπτοντας κακόβουλο λογισμικό ως νόμιμο ή χρησιμοποιώντας εξελιγμένες τεχνικές διαφυγής. Λόγω της κρυφής φύσης τους, οι φορτωτές κακόβουλου λογισμικού αποτελούν σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο, τονίζοντας την ανάγκη για ισχυρά πρωτόκολλα ασφαλείας και συνεχή επαγρύπνηση σε ψηφιακά περιβάλλοντα.
Πηγή: thehackernews