Peneliti keamanan siber telah menjelaskan pemuat malware tersembunyi baru yang disebut BabbleLoader yang telah diamati di alam liar yang mengirimkan keluarga pencuri informasi seperti WhiteSnake dan Meduza.
BabbleLoader adalah “loader yang sangat mengelak, dikemas dengan mekanisme pertahanan, yang dirancang untuk melewati lingkungan antivirus dan sandbox untuk mengirimkan pencuri ke dalam memori,” kata peneliti keamanan Intezer Ryan Robinson dalam sebuah laporan yang diterbitkan Minggu.
Bukti menunjukkan bahwa loader digunakan dalam beberapa kampanye yang menargetkan individu berbahasa Inggris dan Rusia, terutama pengguna yang mencari perangkat lunak crack generik serta profesional bisnis di bidang keuangan dan administrasi dengan menjadikannya sebagai perangkat lunak akuntansi.
Loader telah menjadi metode yang semakin umum untuk mengirimkan malware, seperti pencuri atau ransomware, sering kali bertindak sebagai tahap pertama dalam rantai serangan dengan cara yang menghindari pertahanan antivirus tradisional dengan menggabungkan serangkaian fitur anti-analisis dan anti-sandboxing.
Hal ini dibuktikan dengan terus bermunculannya keluarga loader baru dalam beberapa tahun terakhir. Ini termasuk namun tidak terbatas pada Dolphin Loader, Emmenhtal, FakeBat, dan Hijack Loader, antara lain, yang telah digunakan untuk menyebarkan berbagai muatan seperti CryptBot, Lumma Stealer, SectopRAT, SmokeLoader, dan Ursnif.
Yang membuat BabbleLoader menonjol adalah ia mengemas berbagai teknik penghindaran yang dapat mengelabui sistem deteksi tradisional dan berbasis AI. Hal ini mencakup penggunaan kode sampah dan transformasi metamorf yang mengubah struktur dan aliran loader untuk melewati deteksi berbasis tanda tangan dan perilaku.
Ini juga mengatasi analisis statis dengan menyelesaikan fungsi-fungsi yang diperlukan hanya pada waktu proses, serta mengambil langkah-langkah untuk menghambat analisis di lingkungan sandbox. Selain itu, penambahan kode yang tidak berarti dan berisik secara berlebihan menyebabkan alat pembongkaran atau dekompilasi seperti IDA, Ghidra, dan Binary Ninja mogok, sehingga memaksa analisis manual.
“Setiap build loader akan memiliki string unik, metadata unik, kode unik, hash unik, enkripsi unik, dan aliran kontrol unik,” kata Robinson. “Setiap sampel secara struktural unik dengan hanya beberapa cuplikan kode bersama. Bahkan metadata file diacak untuk setiap sampel.”
“Variasi konstan dalam struktur kode ini memaksa model AI untuk terus mempelajari kembali apa yang harus dicari – sebuah proses yang sering kali menyebabkan deteksi yang terlewat atau kesalahan positif.”
Pemuat, pada intinya, bertanggung jawab untuk memuat kode shell yang kemudian membuka jalan bagi kode yang didekripsi, pemuat Donut, yang, pada gilirannya, membongkar dan mengeksekusi malware pencuri.
“Semakin baik loader dapat melindungi muatan akhir, semakin sedikit sumber daya yang perlu dikeluarkan oleh pelaku ancaman untuk merotasi infrastruktur yang terbakar,” simpul Robinson. “BabbleLoader mengambil langkah-langkah untuk melindungi terhadap berbagai bentuk deteksi yang bisa dilakukan, untuk bersaing di pasar loader/crypter yang ramai.”
Perkembangan ini terjadi ketika Rapid7 merinci kampanye malware baru yang mendistribusikan versi baru LodaRAT yang dilengkapi untuk mencuri cookie dan kata sandi dari Microsoft Edge dan Brave, selain mengumpulkan semua jenis data sensitif, mengirimkan lebih banyak malware, dan memberikan kendali jarak jauh pada perangkat yang disusupi. tuan rumah. Sudah aktif sejak September 2016.
Perusahaan keamanan siber tersebut mengatakan bahwa mereka “melihat versi baru yang didistribusikan oleh Donut loader dan Cobalt Strike,” dan bahwa mereka “mengamati LodaRAT pada sistem yang terinfeksi keluarga malware lain seperti AsyncRAT, Remcos, XWorm, dan banyak lagi.” Meskipun demikian, hubungan pasti antara infeksi-infeksi ini masih belum jelas.
Hal ini juga menyusul penemuan Mr.Skeleton RAT, malware baru berdasarkan njRAT, yang telah diiklankan di dunia maya bawah tanah dan dilengkapi dengan fungsi untuk “akses jarak jauh dan operasi desktop, manipulasi file/folder dan registri, eksekusi shell jarak jauh, keylogging , serta kendali jarak jauh kamera perangkat.”