{"id":213,"date":"2024-11-19T13:55:52","date_gmt":"2024-11-19T13:55:52","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=213"},"modified":"2024-11-19T13:55:53","modified_gmt":"2024-11-19T13:55:53","slug":"novo-malware-stealthy-babbleloader-detectado-entregando-ladroes-whitesnake-e-meduza","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2024\/11\/19\/novo-malware-stealthy-babbleloader-detectado-entregando-ladroes-whitesnake-e-meduza\/","title":{"rendered":"Novo malware Stealthy BabbleLoader detectado entregando ladr\u00f5es WhiteSnake e Meduza"},"content":{"rendered":"\n

Pesquisadores de seguran\u00e7a cibern\u00e9tica revelaram um novo carregador de malware furtivo chamado BabbleLoader, que foi observado em atividade distribuindo fam\u00edlias de ladr\u00f5es de informa\u00e7\u00f5es, como WhiteSnake<\/a> e Meduza<\/a> .<\/p>\n\n\n\n

BabbleLoader \u00e9 um “carregador extremamente evasivo, repleto de mecanismos de defesa, projetado para contornar antiv\u00edrus e ambientes de sandbox para entregar ladr\u00f5es na mem\u00f3ria”, disse<\/a> o pesquisador de seguran\u00e7a da Intezer, Ryan Robinson, em um relat\u00f3rio publicado no domingo.<\/p>\n\n\n\n

Evid\u00eancias mostram que o carregador est\u00e1 sendo usado em diversas campanhas direcionadas a indiv\u00edduos que falam ingl\u00eas e russo, visando principalmente usu\u00e1rios que buscam software crackeado gen\u00e9rico, bem como profissionais de neg\u00f3cios em finan\u00e7as e administra\u00e7\u00e3o, fazendo-o passar por software de contabilidade.<\/p>\n\n\n\n

Os carregadores se tornaram um m\u00e9todo cada vez mais comum para distribuir malware, como ladr\u00f5es ou ransomware, muitas vezes agindo como o primeiro est\u00e1gio de uma cadeia de ataque de uma maneira que contorna as defesas antiv\u00edrus tradicionais ao incorporar uma s\u00e9rie de recursos antian\u00e1lise e antisandboxing.<\/p>\n\n\n\n

Isso \u00e9 evidenciado no fluxo constante de novas fam\u00edlias de carregadores que surgiram nos \u00faltimos anos. Isso inclui, mas n\u00e3o se limita a Dolphin Loader<\/a> , Emmenhtal<\/a> , FakeBat<\/a> e Hijack Loader<\/a> , entre outros, que foram usados \u200b\u200bpara propagar v\u00e1rias cargas \u00fateis como CryptBot, Lumma Stealer, SectopRAT, SmokeLoader<\/a> e Ursnif.<\/p>\n\n\n\n

O que faz o BabbleLoader se destacar \u00e9 que ele re\u00fane v\u00e1rias t\u00e9cnicas de evas\u00e3o que podem enganar sistemas de detec\u00e7\u00e3o tradicionais e baseados em IA. Isso abrange o uso de c\u00f3digo lixo e transforma\u00e7\u00f5es metam\u00f3rficas que modificam a estrutura e o fluxo do carregador para ignorar detec\u00e7\u00f5es baseadas em assinatura e comportamentais.<\/p>\n\n\n\n

Ele tamb\u00e9m contorna a an\u00e1lise est\u00e1tica resolvendo fun\u00e7\u00f5es necess\u00e1rias somente em tempo de execu\u00e7\u00e3o, al\u00e9m de tomar medidas para impedir a an\u00e1lise em ambientes sandbox. Al\u00e9m disso, a adi\u00e7\u00e3o excessiva de c\u00f3digo sem sentido e barulhento faz com que ferramentas de desmontagem ou descompila\u00e7\u00e3o como IDA, Ghidra e Binary Ninja travem, for\u00e7ando uma an\u00e1lise manual.<\/p>\n\n\n\n

“Cada build do carregador ter\u00e1 strings \u00fanicas, metadados \u00fanicos, c\u00f3digo \u00fanico, hashes \u00fanicos, criptografia \u00fanica e um fluxo de controle \u00fanico”, disse Robinson. “Cada amostra \u00e9 estruturalmente \u00fanica com apenas alguns trechos de c\u00f3digo compartilhado. At\u00e9 mesmo os metadados do arquivo s\u00e3o randomizados para cada amostra.”<\/p>\n\n\n\n

“Essa varia\u00e7\u00e3o constante na estrutura do c\u00f3digo for\u00e7a os modelos de IA a reaprender continuamente o que procurar \u2014 um processo que geralmente leva a detec\u00e7\u00f5es perdidas ou falsos positivos.”<\/p>\n\n\n\n

O carregador, em sua ess\u00eancia, \u00e9 respons\u00e1vel por carregar o shellcode que ent\u00e3o abre caminho para o c\u00f3digo descriptografado, um carregador Donut, que, por sua vez, descompacta e executa o malware ladr\u00e3o.<\/p>\n\n\n\n

“Quanto melhor os carregadores puderem proteger as cargas \u00fateis finais, menos recursos os agentes de amea\u00e7as precisar\u00e3o gastar para rotacionar a infraestrutura queimada”, concluiu Robinson. “O BabbleLoader toma medidas para proteger contra o m\u00e1ximo de formas de detec\u00e7\u00e3o que puder, para competir em um mercado lotado de carregadores\/criptadores.”<\/p>\n\n\n\n

O desenvolvimento vem enquanto o Rapid7 detalhou uma nova campanha de malware que distribui uma nova vers\u00e3o do LodaRAT<\/a> que \u00e9 equipada para roubar cookies e senhas do Microsoft Edge e Brave, al\u00e9m de reunir todos os tipos de dados confidenciais, entregar mais malware e conceder controle remoto de hosts comprometidos. Est\u00e1 ativo<\/a> desde setembro de 2016.<\/p>\n\n\n\n

A empresa de seguran\u00e7a cibern\u00e9tica disse<\/a> que “detectou novas vers\u00f5es sendo distribu\u00eddas pelo Donut Loader e Cobalt Strike” e que “observou LodaRAT em sistemas infectados com outras fam\u00edlias de malware, como AsyncRAT, Remcos, XWorm e mais”. Dito isso, a rela\u00e7\u00e3o exata entre essas infec\u00e7\u00f5es permanece obscura.<\/p>\n\n\n\n

Tamb\u00e9m ocorre ap\u00f3s a descoberta do Mr.Skeleton RAT<\/a> , um novo malware baseado no njRAT, que foi anunciado no submundo do crime cibern\u00e9tico e vem com funcionalidades para “acesso remoto e opera\u00e7\u00f5es de desktop, manipula\u00e7\u00e3o de arquivos\/pastas e registro, execu\u00e7\u00e3o remota de shell, keylogging, bem como controle remoto da c\u00e2mera dos dispositivos”.<\/p>\n","protected":false},"excerpt":{"rendered":"

Pesquisadores de seguran\u00e7a cibern\u00e9tica revelaram um novo carregador de malware furtivo chamado BabbleLoader, que foi observado em atividade distribuindo fam\u00edlias de ladr\u00f5es de informa\u00e7\u00f5es, como WhiteSnake e Meduza . BabbleLoader \u00e9 um “carregador extremamente evasivo, repleto de mecanismos de defesa, projetado para contornar antiv\u00edrus e ambientes de sandbox para entregar ladr\u00f5es na mem\u00f3ria”, disse o pesquisador de seguran\u00e7a da Intezer, Ryan […]<\/p>\n","protected":false},"author":1,"featured_media":214,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7,1],"tags":[],"class_list":["post-213","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/213","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=213"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/213\/revisions"}],"predecessor-version":[{"id":215,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/213\/revisions\/215"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/214"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=213"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=213"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=213"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}