Logiciel malveillant BabbleLoader

Par Mezo en Logiciels malveillants

Se traduisent par :

Les experts en cybersécurité ont identifié une nouvelle menace hautement secrète connue sous le nom de BabbleLoader, qui a été observée en train de déployer des outils de vol d'informations comme White Snake et Meduza .

BabbleLoader utilise des tactiques d'évasion avancées, avec des mécanismes de défense robustes pour contourner les programmes antivirus et les environnements sandbox. Son objectif est de charger les voleurs directement dans la mémoire. Des rapports indiquent que BabbleLoader a été utilisé dans plusieurs campagnes ciblant des publics anglophones et russophones. Ces opérations visent principalement les utilisateurs à la recherche de logiciels piratés et les professionnels des affaires dans les domaines de la finance et de l'administration, se faisant passer pour des logiciels de comptabilité.

Table des matières

Le rôle des chargeurs dans les attaques de logiciels malveillants

Les chargeurs sont devenus une méthode largement utilisée pour déployer des menaces telles que les voleurs et les ransomwares, servant souvent de phase initiale d'une attaque. Ils sont conçus pour échapper à la détection antivirus traditionnelle en intégrant des techniques étendues d'anti-analyse et d'anti-sandboxing.

Cette tendance est évidente dans l'émergence continue de nouvelles familles de chargeurs au cours des dernières années. Parmi les exemples, citons Dolphin Loader, Emmental, FakeBat et Hijack Loader , qui ont été exploités pour distribuer diverses charges utiles, notamment CryptBot , Lumma Stealer , SectopRAT , SmokeLoader et Ursnif .

BabbleLoader est équipé de nombreuses techniques d’évasion

BabbleLoader se distingue par ses techniques d'évasion sophistiquées, qui peuvent tromper les systèmes de détection traditionnels et basés sur l'IA. Ces méthodes incluent l'utilisation de code indésirable et de transformations métamorphiques, qui modifient la structure et le flux d'exécution du chargeur pour contourner les analyses basées sur les signatures et les comportements.

Le chargeur évite l'analyse statique en résolvant les fonctions critiques uniquement au moment de l'exécution et utilise des mesures pour contrecarrer les examens basés sur le sandbox. De plus, il intègre des quantités excessives de code dénué de sens, conçu pour submerger et faire planter les outils de désassemblage ou de décompilation comme IDA, Ghidra et Binary Ninja, ce qui nécessite une analyse manuelle.

Chaque itération de BabbleLoader est conçue de manière unique, avec des chaînes, des métadonnées, du code, des hachages, des méthodes de chiffrement et des flux de contrôle distincts. Bien que les échantillons individuels partagent des extraits de code minimaux, leurs structures sont principalement uniques. Même les métadonnées des fichiers sont randomisées pour obscurcir davantage les modèles.

Cette variation continue oblige les modèles de détection de l'IA à s'adapter en permanence, ce qui entraîne souvent des détections manquées ou des faux positifs en raison des changements rapides et imprévisibles dans la conception du chargeur.

BabbleLoader ouvre la voie à de nouveaux compromis sur les systèmes

À la base, BabbleLoader est conçu pour charger un shellcode qui décrypte et fournit ensuite un chargeur Donut, qui décompresse et active ensuite le malware voleur.

Plus les chargeurs sont efficaces pour protéger les charges utiles finales, moins les attaquants doivent investir de ressources dans la rotation des infrastructures compromises. BabbleLoader utilise diverses techniques pour se protéger de la détection, ce qui lui permet de rester compétitif dans le paysage encombré des chargeurs et des crypteurs.