Novembro 19, 2024
admin Hackers, Tecnologia

Novo malware Stealthy BabbleLoader detectado entregando ladrões WhiteSnake e Meduza

Pesquisadores de segurança cibernética revelaram um novo carregador de malware furtivo chamado BabbleLoader, que foi observado em atividade distribuindo famílias de ladrões de informações, como WhiteSnake e Meduza .

BabbleLoader é um “carregador extremamente evasivo, repleto de mecanismos de defesa, projetado para contornar antivírus e ambientes de sandbox para entregar ladrões na memória”, disse o pesquisador de segurança da Intezer, Ryan Robinson, em um relatório publicado no domingo.

Evidências mostram que o carregador está sendo usado em diversas campanhas direcionadas a indivíduos que falam inglês e russo, visando principalmente usuários que buscam software crackeado genérico, bem como profissionais de negócios em finanças e administração, fazendo-o passar por software de contabilidade.

Os carregadores se tornaram um método cada vez mais comum para distribuir malware, como ladrões ou ransomware, muitas vezes agindo como o primeiro estágio de uma cadeia de ataque de uma maneira que contorna as defesas antivírus tradicionais ao incorporar uma série de recursos antianálise e antisandboxing.

Isso é evidenciado no fluxo constante de novas famílias de carregadores que surgiram nos últimos anos. Isso inclui, mas não se limita a Dolphin Loader , Emmenhtal , FakeBat e Hijack Loader , entre outros, que foram usados ​​para propagar várias cargas úteis como CryptBot, Lumma Stealer, SectopRAT, SmokeLoader e Ursnif.

O que faz o BabbleLoader se destacar é que ele reúne várias técnicas de evasão que podem enganar sistemas de detecção tradicionais e baseados em IA. Isso abrange o uso de código lixo e transformações metamórficas que modificam a estrutura e o fluxo do carregador para ignorar detecções baseadas em assinatura e comportamentais.

Ele também contorna a análise estática resolvendo funções necessárias somente em tempo de execução, além de tomar medidas para impedir a análise em ambientes sandbox. Além disso, a adição excessiva de código sem sentido e barulhento faz com que ferramentas de desmontagem ou descompilação como IDA, Ghidra e Binary Ninja travem, forçando uma análise manual.

“Cada build do carregador terá strings únicas, metadados únicos, código único, hashes únicos, criptografia única e um fluxo de controle único”, disse Robinson. “Cada amostra é estruturalmente única com apenas alguns trechos de código compartilhado. Até mesmo os metadados do arquivo são randomizados para cada amostra.”

“Essa variação constante na estrutura do código força os modelos de IA a reaprender continuamente o que procurar — um processo que geralmente leva a detecções perdidas ou falsos positivos.”

O carregador, em sua essência, é responsável por carregar o shellcode que então abre caminho para o código descriptografado, um carregador Donut, que, por sua vez, descompacta e executa o malware ladrão.

“Quanto melhor os carregadores puderem proteger as cargas úteis finais, menos recursos os agentes de ameaças precisarão gastar para rotacionar a infraestrutura queimada”, concluiu Robinson. “O BabbleLoader toma medidas para proteger contra o máximo de formas de detecção que puder, para competir em um mercado lotado de carregadores/criptadores.”

O desenvolvimento vem enquanto o Rapid7 detalhou uma nova campanha de malware que distribui uma nova versão do LodaRAT que é equipada para roubar cookies e senhas do Microsoft Edge e Brave, além de reunir todos os tipos de dados confidenciais, entregar mais malware e conceder controle remoto de hosts comprometidos. Está ativo desde setembro de 2016.

A empresa de segurança cibernética disse que “detectou novas versões sendo distribuídas pelo Donut Loader e Cobalt Strike” e que “observou LodaRAT em sistemas infectados com outras famílias de malware, como AsyncRAT, Remcos, XWorm e mais”. Dito isso, a relação exata entre essas infecções permanece obscura.

Também ocorre após a descoberta do Mr.Skeleton RAT , um novo malware baseado no njRAT, que foi anunciado no submundo do crime cibernético e vem com funcionalidades para “acesso remoto e operações de desktop, manipulação de arquivos/pastas e registro, execução remota de shell, keylogging, bem como controle remoto da câmera dos dispositivos”.