Cybersecurity-onderzoekers hebben licht geworpen op een nieuwe sluipende malware-lader genaamd BabbleLoader, die in het wild is waargenomen en informatiestelersfamilies zoals WhiteSnake en Meduza levert.
BabbleLoader is een “extreem ontwijkende lader, boordevol defensieve mechanismen, die is ontworpen om antivirus- en sandbox-omgevingen te omzeilen en stealers in het geheugen te plaatsen”, zei Intezer-beveiligingsonderzoeker Ryan Robinson in een zondag gepubliceerd rapport.
Er zijn aanwijzingen dat de lader wordt gebruikt in verschillende campagnes die zich richten op zowel Engels- als Russischsprekende individuen, waarbij vooral gebruikers worden uitgekozen die op zoek zijn naar generieke gekraakte software, maar ook zakelijke professionals in de financiële en administratieve sector die het voor boekhoudsoftware laten doorgaan.
Loaders zijn een steeds vaker voorkomende methode geworden om malware te verspreiden, zoals stealers of ransomware, en fungeren vaak als de eerste fase in een aanvalsketen op een manier die de traditionele antivirusbescherming omzeilt door een hele reeks anti-analyse- en anti-sandboxing-functies op te nemen.
Dit blijkt uit de gestage stroom nieuwe laderfamilies die de afgelopen jaren zijn ontstaan. Dit omvat onder andere, maar is niet beperkt tot, Dolphin Loader, Emmenhtal, FakeBat en Hijack Loader, die zijn gebruikt om verschillende payloads te verspreiden, zoals CryptBot, Lumma Stealer, SectopRAT, SmokeLoader en Ursnif.
Wat BabbleLoader zo bijzonder maakt, is dat het verschillende ontwijkingstechnieken bevat die zowel traditionele als op AI gebaseerde detectiesystemen voor de gek kunnen houden. Dit omvat het gebruik van ongewenste code en metamorfe transformaties die de structuur en stroom van de lader wijzigen om op handtekeningen gebaseerde en gedragsmatige detecties te omzeilen.
Het omzeilt ook statische analyse door noodzakelijke functies alleen tijdens runtime op te lossen, naast het nemen van stappen om analyse in sandbox-omgevingen te belemmeren. Bovendien zorgt de overmatige toevoeging van betekenisloze, luidruchtige code ervoor dat demontage- of decompilatietools zoals IDA, Ghidra en Binary Ninja vastlopen, waardoor een handmatige analyse wordt gedwongen.
“Elke build van de loader zal unieke strings, unieke metadata, unieke code, unieke hashes, unieke encryptie en een unieke controlestroom hebben”, aldus Robinson. “Elk voorbeeld is structureel uniek met slechts een paar fragmenten gedeelde code. Zelfs de metadata van het bestand is voor elk voorbeeld willekeurig.”
“Deze constante variatie in codestructuur dwingt AI-modellen voortdurend opnieuw te leren waar ze op moeten letten – een proces dat vaak leidt tot gemiste detecties of valse positieven.”
De lader is in essentie verantwoordelijk voor het laden van shellcode die vervolgens de weg vrijmaakt voor gedecodeerde code: een Donut-lader, die op zijn beurt de stealer-malware uitpakt en uitvoert.
“Hoe beter de laders de uiteindelijke lading kunnen beschermen, hoe minder middelen de bedreigingsactoren zullen moeten besteden om de verbrande infrastructuur te roteren”, concludeerde Robinson. “BabbleLoader neemt maatregelen om te beschermen tegen zoveel mogelijk vormen van detectie, om te kunnen concurreren op een drukke loader/crypter-markt.”
De ontwikkeling komt op het moment dat Rapid7 een nieuwe malwarecampagne heeft gedetailleerd die een nieuwe versie van LodaRAT verspreidt die is uitgerust om cookies en wachtwoorden van Microsoft Edge en Brave te stelen, naast het verzamelen van allerlei gevoelige gegevens, het leveren van meer malware en het verlenen van afstandsbediening van gecompromitteerde gastheren. Het is actief sinds september 2016.
Het cyberbeveiligingsbedrijf zei dat het “nieuwe versies zag die werden gedistribueerd door Donut loader en Cobalt Strike”, en dat het “LodaRAT observeerde op systemen die waren geïnfecteerd met andere malwarefamilies zoals AsyncRAT, Remcos, XWorm en meer.” Dat gezegd hebbende, blijft de exacte relatie tussen deze infecties onduidelijk.
Het volgt ook op de ontdekking van Mr.Skeleton RAT, een nieuwe malware gebaseerd op njRAT, die is geadverteerd in de cybercriminaliteit en wordt geleverd met functionaliteit voor “toegang op afstand en desktopbewerkingen, manipulatie van bestanden/mappen en registers, externe shell-uitvoering, keylogging , evenals afstandsbediening van de camera van het apparaat.”