Pesquisadores de cibersegurança revelaram detalhes sobre um novo loader de malware furtivo chamado BabbleLoader, que foi observado "in the wild" entregando famílias de malware para roubo de informações, como WhiteSnake e Meduza.
BabbleLoader é um loader "extremamente evasivo, recheado de mecanismos defensivos, projetado para burlar antivírus e ambientes sandbox para entregar stealers diretamente na memória," disse o pesquisador de segurança da Intezer, Ryan Robinson, em um relatório publicado no domingo.
Evidências mostram que o loader está sendo usado em várias campanhas direcionadas tanto a indivíduos que falam inglês quanto russo, visando principalmente usuários que procuram por software crackeado genérico, bem como profissionais de negócios nas áreas de finanças e administração, passando-se por software de contabilidade.
Os loaders tornaram-se um método cada vez mais prevalente para entregar malware, como stealers ou ransomware, muitas vezes agindo como o primeiro estágio em uma cadeia de ataque de maneira que contorna as defesas tradicionais de antivírus ao incorporar uma série de características anti-análise e anti-sandboxing.
Isso é evidenciado na sequência constante de novas famílias de loaders que emergiram nos últimos anos.
Isso inclui, mas não se limita a, Dolphin Loader, Emmenhtal, FakeBat e Hijack Loader, entre outros, que foram usados para propagar vários payloads como CryptBot, Lumma Stealer, SectopRAT, SmokeLoader e Ursnif.
O que faz o BabbleLoader se destacar é que ele embala várias técnicas de evasão que podem enganar tanto sistemas de detecção tradicionais quanto baseados em IA.
Isso engloba o uso de código inútil e transformações metamórficas que modificam a estrutura e o fluxo do loader para burlar detecções baseadas em assinatura e comportamentais.
Ele também contorna a análise estática, resolvendo funções necessárias apenas em tempo de execução, além de tomar medidas para impedir a análise em ambientes sandboxed.
Além disso, a adição excessiva de código barulhento e sem sentido faz com que ferramentas de desmontagem ou decompilação como IDA, Ghidra e Binary Ninja travem, forçando uma análise manual.
"Cada construção do loader terá strings únicas, metadados únicos, código único, hashes únicos, criptografia única, e um fluxo de controle único," disse Robinson.
Cada amostra é estruturalmente única, com apenas alguns trechos de código compartilhados.
Até o metadado do arquivo é randomizado para cada amostra.
Essa variação constante na estrutura do código força os modelos de IA a continuamente reaprender o que procurar — um processo que frequentemente leva a detecções perdidas ou falsos positivos.
O loader, em sua essência, é responsável por carregar um shellcode que, então, abre caminho para o código criptografado, um loader Donut, que, por sua vez, desempacota e executa o malware stealer.
"Quanto melhor os loaders conseguirem proteger os payloads finais, menos recursos os atores de ameaças precisarão gastar para rotacionar infraestrutura comprometida," concluiu Robinson.
O BabbleLoader toma medidas para proteger contra tantas formas de detecção quanto possível, a fim de competir em um mercado de loaders/crypters lotado.
Esse desenvolvimento ocorre ao mesmo tempo que a Rapid7 detalhou uma nova campanha de malware que distribui uma nova versão do LodaRAT, equipado para roubar cookies e senhas do Microsoft Edge e Brave, além de coletar todos os tipos de dados sensíveis, entregar mais malware e conceder controle remoto dos hosts comprometidos.
Está ativo desde setembro de 2016.
A empresa de cibersegurança disse que "observou novas versões sendo distribuídas pelo loader Donut e Cobalt Strike," e que "observou LodaRAT em sistemas infectados com outras famílias de malware como AsyncRAT, Remcos, XWorm, e mais." Dito isso, a relação exata entre essas infecções permanece incerta.
Isso também segue a descoberta do Mr.Skeleton RAT, um novo malware baseado no njRAT, que foi anunciado no submundo do cibercrime e vem com funcionalidades para "acesso remoto e operações de desktop, manipulação de arquivos/pastas e registro, execução de shell remoto, keylogging, além de controle remoto da câmera dos dispositivos."
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...