Дослідники кібербезпеки виявили новий прихований завантажувач під назвою BabbleLoader, який використовується для доставки шкідливих програм, таких як крадії даних WhiteSnake та Meduza.
Згідно з Intezer, BabbleLoader — це “надзвичайно ухильний завантажувач, оснащений захисними механізмами для обходу антивірусних та песочних середовищ, що дозволяє завантажувати шкідливі програми безпосередньо в пам’ять”. Виявлено, що цей завантажувач використовується в декількох кампаніях, орієнтованих як на англомовних, так і на російськомовних користувачів, зокрема тих, хто шукає зламане програмне забезпечення, а також бізнес-професіоналів у сфері фінансів і адміністрування, маскуючись під бухгалтерські програми.
Завантажувачі набули популярності як метод доставки шкідливих програм, оминаючи традиційні антивірусні захисти завдяки широкому набору функцій для уникнення аналізу. BabbleLoader вирізняється серед інших завдяки використанню складних методів ухилення, що можуть обдурити як традиційні, так і засновані на AI системи виявлення.
Він обходить статичний аналіз, виконуючи необхідні функції тільки під час роботи, і використовує надмірний “шумний” код, який спричиняє збої в інструментах декомпіляції, таких як IDA, Ghidra та Binary Ninja, що ускладнює аналіз. Кожен екземпляр BabbleLoader має унікальні рядки, метадані та структуру коду, що постійно змінюється, через що AI-моделі змушені постійно адаптуватися, що може призводити до помилок або пропущень.
BabbleLoader завантажує shellcode, який розпаковує та виконує основний шкідливий код, включаючи завантажувач Donut, що, в свою чергу, запускає крадій даних. Такий рівень захисту дозволяє зловмисникам витрачати менше ресурсів на оновлення інфраструктури.
На тлі цієї новини Rapid7 повідомила про нову кампанію з поширення оновленої версії LodaRAT, що краде кукі та паролі з браузерів Microsoft Edge і Brave, збирає конфіденційні дані, завантажує інше шкідливе ПЗ та забезпечує віддалений доступ до інфікованих систем.
Також було виявлено Mr.Skeleton RAT, нову програму віддаленого доступу на основі njRAT, з можливістю віддаленого управління, виконання команд, маніпуляції з реєстром та використання камери пристрою.
