Siber güvenlik araştırmacıları, WhiteSnake ve Meduza gibi bilgi hırsızı aileleri dağıtırken gözlemlenen BabbleLoader adlı yeni bir gizli kötü amaçlı yazılım yükleyicisine ışık tuttu.
Intezer güvenlik araştırmacısı Ryan Robinson, Pazar günü yayınlanan bir raporda, BabbleLoader’ın “savunma mekanizmalarıyla dolu, hırsızları belleğe göndermek için antivirüs ve korumalı alan ortamlarını atlamak üzere tasarlanmış son derece kaçamak bir yükleyici” olduğunu söyledi.
Kanıtlar, yükleyicinin hem İngilizce hem de Rusça konuşan bireyleri hedef alan çeşitli kampanyalarda kullanıldığını, öncelikle jenerik crackli yazılım arayan kullanıcıların yanı sıra finans ve yönetim alanındaki iş profesyonellerini muhasebe yazılımı olarak göstererek ayırdığını gösteriyor.
Yükleyiciler, hırsızlar veya fidye yazılımları gibi kötü amaçlı yazılım dağıtmak için giderek yaygınlaşan bir yöntem haline geldi ve genellikle bir dizi anti-analiz ve anti-sandboxing özelliklerini birleştirerek geleneksel antivirüs savunmalarını atlatacak şekilde bir saldırı zincirinin ilk aşaması olarak hareket ediyor.
Bu, son yıllarda ortaya çıkan yeni yükleyici ailelerinin istikrarlı akışıyla kanıtlanmaktadır. Bu, CryptBot, Lumma Stealer, SectopRAT, SmokeLoader ve Ursnif gibi çeşitli yükleri yaymak için kullanılan Dolphin Loader, Emmenhtal, FakeBat ve Hijack Loader’ı içerir ancak bunlarla sınırlı değildir.
BabbleLoader’ı öne çıkaran şey, hem geleneksel hem de yapay zeka tabanlı tespit sistemlerini kandırabilecek çeşitli kaçınma tekniklerini bünyesinde barındırmasıdır. Bu, imza tabanlı ve davranışsal tespitleri atlamak için yükleyicinin yapısını ve akışını değiştiren önemsiz kod ve metamorfik dönüşümlerin kullanımını kapsar.
Ayrıca, korumalı alan ortamlarında analizi engellemek için adımlar atmanın yanı sıra gerekli işlevleri yalnızca çalışma zamanında çözerek statik analizin üstesinden gelir. Ayrıca anlamsız, gürültülü kodun aşırı eklenmesi, IDA, Ghidra ve Binary Ninja gibi sökme veya kaynak koda dönüştürme araçlarının çökmesine neden olarak manuel analiz yapılmasını zorunlu kılar.
Robinson, “Yükleyicinin her yapısının benzersiz dizeleri, benzersiz meta verileri, benzersiz kodu, benzersiz karmaları, benzersiz şifrelemesi ve benzersiz bir kontrol akışı olacak” dedi. “Her örnek, yalnızca birkaç paylaşılan kod parçacığıyla yapısal olarak benzersizdir. Dosyanın meta verileri bile her örnek için rastgele seçilmiştir.”
“Kod yapısındaki bu sürekli değişiklik, yapay zeka modellerini sürekli olarak neyi arayacaklarını yeniden öğrenmeye zorluyor; bu, çoğu zaman gözden kaçan tespitlere veya yanlış pozitiflere yol açan bir süreç.”
Yükleyici, özünde, şifresi çözülmüş kodun önünü açan kabuk kodunun yüklenmesinden sorumludur; Donut yükleyici, daha sonra hırsız kötü amaçlı yazılımın paketini açar ve çalıştırır.
Robinson, “Yükleyiciler nihai yükleri ne kadar iyi koruyabilirse, tehdit aktörlerinin yanan altyapıyı döndürmek için harcaması gereken kaynak miktarı da o kadar az olacak” diye tamamladı. “BabbleLoader, kalabalık bir yükleyici/şifreleyici pazarında rekabet edebilmek için mümkün olduğu kadar çok sayıda tespit biçimine karşı koruma sağlayacak önlemler alıyor.”
Bu gelişme, Rapid7’nin, her türlü hassas veriyi toplamanın, daha fazla kötü amaçlı yazılım dağıtmanın ve ele geçirilen yazılımların uzaktan kontrolünü sağlamanın yanı sıra, Microsoft Edge ve Brave’den çerezleri ve parolaları çalmak üzere donatılmış yeni bir LodaRAT sürümünü dağıtan yeni bir kötü amaçlı yazılım kampanyasını ayrıntılarıyla açıklamasıyla ortaya çıktı. ev sahipliği yapıyor. Eylül 2016’dan beri aktiftir.
Siber güvenlik şirketi, “Donut loader ve Cobalt Strike tarafından yeni sürümlerin dağıtıldığını tespit ettiğini” ve “AsyncRAT, Remcos, XWorm ve daha fazlası gibi diğer kötü amaçlı yazılım ailelerinin bulaştığı sistemlerde LodaRAT’ı gözlemlediğini” söyledi. Bununla birlikte, bu enfeksiyonlar arasındaki kesin ilişki belirsizliğini koruyor.
Bu aynı zamanda, yeraltı siber suçlarında reklamı yapılan ve “uzaktan erişim ve masaüstü işlemleri, dosya/klasör ve kayıt defteri manipülasyonu, uzaktan kabuk yürütme, keylogging” işlevleriyle birlikte gelen, njRAT tabanlı yeni bir kötü amaçlı yazılım olan Mr.Skeleton RAT’ın keşfini de takip ediyor. ve ayrıca cihazların kamerasının uzaktan kontrolü.”