Novo malware BabbleLoader
19 de Novembro de 2024

Pesquisadores de cibersegurança revelaram detalhes sobre um novo loader de malware furtivo chamado BabbleLoader, que foi observado "in the wild" entregando famílias de malware para roubo de informações, como WhiteSnake e Meduza.

BabbleLoader é um loader "extremamente evasivo, recheado de mecanismos defensivos, projetado para burlar antivírus e ambientes sandbox para entregar stealers diretamente na memória," disse o pesquisador de segurança da Intezer, Ryan Robinson, em um relatório publicado no domingo.

Evidências mostram que o loader está sendo usado em várias campanhas direcionadas tanto a indivíduos que falam inglês quanto russo, visando principalmente usuários que procuram por software crackeado genérico, bem como profissionais de negócios nas áreas de finanças e administração, passando-se por software de contabilidade.

Os loaders tornaram-se um método cada vez mais prevalente para entregar malware, como stealers ou ransomware, muitas vezes agindo como o primeiro estágio em uma cadeia de ataque de maneira que contorna as defesas tradicionais de antivírus ao incorporar uma série de características anti-análise e anti-sandboxing.

Isso é evidenciado na sequência constante de novas famílias de loaders que emergiram nos últimos anos.

Isso inclui, mas não se limita a, Dolphin Loader, Emmenhtal, FakeBat e Hijack Loader, entre outros, que foram usados para propagar vários payloads como CryptBot, Lumma Stealer, SectopRAT, SmokeLoader e Ursnif.

O que faz o BabbleLoader se destacar é que ele embala várias técnicas de evasão que podem enganar tanto sistemas de detecção tradicionais quanto baseados em IA.

Isso engloba o uso de código inútil e transformações metamórficas que modificam a estrutura e o fluxo do loader para burlar detecções baseadas em assinatura e comportamentais.

Ele também contorna a análise estática, resolvendo funções necessárias apenas em tempo de execução, além de tomar medidas para impedir a análise em ambientes sandboxed.

Além disso, a adição excessiva de código barulhento e sem sentido faz com que ferramentas de desmontagem ou decompilação como IDA, Ghidra e Binary Ninja travem, forçando uma análise manual.

"Cada construção do loader terá strings únicas, metadados únicos, código único, hashes únicos, criptografia única, e um fluxo de controle único," disse Robinson.

Cada amostra é estruturalmente única, com apenas alguns trechos de código compartilhados.

Até o metadado do arquivo é randomizado para cada amostra.

Essa variação constante na estrutura do código força os modelos de IA a continuamente reaprender o que procurar — um processo que frequentemente leva a detecções perdidas ou falsos positivos.
O loader, em sua essência, é responsável por carregar um shellcode que, então, abre caminho para o código criptografado, um loader Donut, que, por sua vez, desempacota e executa o malware stealer.

"Quanto melhor os loaders conseguirem proteger os payloads finais, menos recursos os atores de ameaças precisarão gastar para rotacionar infraestrutura comprometida," concluiu Robinson.

O BabbleLoader toma medidas para proteger contra tantas formas de detecção quanto possível, a fim de competir em um mercado de loaders/crypters lotado.

Esse desenvolvimento ocorre ao mesmo tempo que a Rapid7 detalhou uma nova campanha de malware que distribui uma nova versão do LodaRAT, equipado para roubar cookies e senhas do Microsoft Edge e Brave, além de coletar todos os tipos de dados sensíveis, entregar mais malware e conceder controle remoto dos hosts comprometidos.

Está ativo desde setembro de 2016.

A empresa de cibersegurança disse que "observou novas versões sendo distribuídas pelo loader Donut e Cobalt Strike," e que "observou LodaRAT em sistemas infectados com outras famílias de malware como AsyncRAT, Remcos, XWorm, e mais." Dito isso, a relação exata entre essas infecções permanece incerta.

Isso também segue a descoberta do Mr.Skeleton RAT, um novo malware baseado no njRAT, que foi anunciado no submundo do cibercrime e vem com funcionalidades para "acesso remoto e operações de desktop, manipulação de arquivos/pastas e registro, execução de shell remoto, keylogging, além de controle remoto da câmera dos dispositivos."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...