Los investigadores de ciberseguridad han arrojado luz sobre un nuevo cargador de malware sigiloso llamado BabbleLoader que se ha observado en la naturaleza entregando familias de ladrones de información como WhiteSnake y Meduza.
BabbleLoader es un “cargador extremadamente evasivo, repleto de mecanismos defensivos, que está diseñado para evitar entornos antivirus y sandbox para enviar ladrones a la memoria”, dijo el investigador de seguridad de Intezer, Ryan Robinson, en un informe publicado el domingo.
La evidencia muestra que el cargador se está utilizando en varias campañas dirigidas a personas de habla inglesa y rusa, destacando principalmente a usuarios que buscan software crackeado genérico, así como a profesionales de negocios en finanzas y administración, haciéndolo pasar por software de contabilidad.
Los cargadores se han convertido en un método cada vez más frecuente para distribuir malware, como ladrones o ransomware, y a menudo actúan como la primera etapa en una cadena de ataque de una manera que elude las defensas antivirus tradicionales al incorporar un conjunto de funciones antianálisis y anti-sandboxing.
Esto se evidencia en el flujo constante de nuevas familias de cargadoras que han surgido en los últimos años. Esto incluye, entre otros, Dolphin Loader, Emmenhtal, FakeBat y Hijack Loader, entre otros, que se han utilizado para propagar varias cargas útiles como CryptBot, Lumma Stealer, SectopRAT, SmokeLoader y Ursnif.
Lo que hace que BabbleLoader se destaque es que incluye varias técnicas de evasión que pueden engañar tanto a los sistemas de detección tradicionales como a los basados en IA. Esto abarca el uso de código basura y transformaciones metamórficas que modifican la estructura y el flujo del cargador para evitar las detecciones de comportamiento y basadas en firmas.
También evita el análisis estático al resolver las funciones necesarias solo en tiempo de ejecución, además de tomar medidas para impedir el análisis en entornos aislados. Además, la adición excesiva de código ruidoso y sin sentido hace que las herramientas de desmontaje o descompilación como IDA, Ghidra y Binary Ninja fallen, lo que obliga a un análisis manual.
“Cada compilación del cargador tendrá cadenas únicas, metadatos únicos, código único, hashes únicos, cifrado único y un flujo de control único”, dijo Robinson. “Cada muestra es estructuralmente única con sólo unos pocos fragmentos de código compartido. Incluso los metadatos del archivo son aleatorios para cada muestra”.
“Esta variación constante en la estructura del código obliga a los modelos de IA a volver a aprender continuamente qué buscar, un proceso que a menudo conduce a detecciones perdidas o falsos positivos”.
El cargador, en esencia, es responsable de cargar el código shell que luego allana el camino para el código descifrado, un cargador Donut, que, a su vez, descomprime y ejecuta el malware ladrón.
“Cuanto mejor puedan los cargadores proteger las cargas útiles finales, menos recursos necesitarán gastar los actores de amenazas para rotar la infraestructura quemada”, concluyó Robinson. “BabbleLoader toma medidas para protegerse contra tantas formas de detección como sea posible, para poder competir en un mercado abarrotado de cargadores/criptadores”.
El desarrollo se produce cuando Rapid7 detalló una nueva campaña de malware que distribuye una nueva versión de LodaRAT que está equipada para robar cookies y contraseñas de Microsoft Edge y Brave, además de recopilar todo tipo de datos confidenciales, entregar más malware y otorgar control remoto de los sitios comprometidos. anfitriones. Ha estado activo desde septiembre de 2016.
La compañía de ciberseguridad dijo que “detectó nuevas versiones distribuidas por Donut Loader y Cobalt Strike” y que “observó LodaRAT en sistemas infectados con otras familias de malware como AsyncRAT, Remcos, XWorm y más”. Dicho esto, la relación exacta entre estas infecciones sigue sin estar clara.
También sigue al descubrimiento de Mr.Skeleton RAT, un nuevo malware basado en njRAT, que ha sido publicitado en el mundo del cibercrimen y viene con funcionalidad para “acceso remoto y operaciones de escritorio, manipulación de archivos/carpetas y registros, ejecución remota de shell, registro de teclas”. , así como control remoto de la cámara de los dispositivos.”