BabbleLoader マルウェア
サイバーセキュリティの専門家は、BabbleLoader と呼ばれる新しい、非常に隠蔽性の高い脅威を特定しました。この脅威は、 White SnakeやMeduza のような情報窃取ツールを展開することが確認されています。
BabbleLoader は高度な回避戦術を採用しており、強力な防御メカニズムを備えてウイルス対策プログラムやサンドボックス環境を回避します。その目的は、スティーラーを直接メモリにロードすることです。報告によると、BabbleLoader は英語とロシア語を話すユーザーをターゲットにした複数のキャンペーンで使用されています。これらの操作は主に、クラックされたソフトウェアを探しているユーザーと、会計ソフトウェアを装って財務および管理職のビジネス プロフェッショナルを対象としています。
目次
マルウェア攻撃におけるローダーの役割
ローダーは、スティーラーやランサムウェアなどの脅威を展開するために広く利用される方法になっており、攻撃の初期段階として機能することがよくあります。ローダーは、広範なアンチ分析およびアンチサンドボックス技術を統合することで、従来のウイルス対策による検出を回避するように設計されています。
この傾向は、近年、新しいローダー ファミリが継続的に出現していることからも明らかです。例としては、 Dolphin Loader、Emmental、 FakeBat 、 Hijack Loaderが挙げられ、これらはCryptBot 、 Lumma Stealer 、 SectopRAT 、 SmokeLoader 、 Ursnifなどのさまざまなペイロードの配布に利用されています。
BabbleLoaderは数多くの回避技術を備えている
BabbleLoader は、従来の検出システムと AI 駆動型検出システムの両方を欺くことができる高度な回避技術を備えている点で際立っています。これらの方法には、ジャンク コードの使用やメタモーフィック変換が含まれ、ローダーの構造と実行フローを変更して、シグネチャ ベースおよび動作分析を回避します。
ローダーは、重要な関数を実行時にのみ解決することで静的分析を回避し、サンドボックスベースの検査を阻止する手段を採用しています。さらに、IDA、Ghidra、Binary Ninja などの逆アセンブリまたは逆コンパイル ツールを圧倒してクラッシュさせるように設計された、意味のないコードを大量に組み込んでおり、手動分析が必要になります。
BabbleLoader の各反復は独自に作成されており、異なる文字列、メタデータ、コード、ハッシュ、暗号化方法、および制御フローを備えています。個々のサンプルは最小限のコード スニペットを共有していますが、その構造は主に固有です。ファイルのメタデータもランダム化されており、パターンをさらに不明瞭にしています。
この継続的な変化により、AI 検出モデルは常に適応する必要があり、ローダーの設計が急速かつ予測不可能に変化するため、検出漏れや誤検知が発生することがよくあります。
BabbleLoader がシステムへのさらなる侵入の道を開く
BabbleLoader の本質は、シェルコードをロードして、その後、Donut ローダーを復号化して配信し、その後、スティーラー マルウェアを解凍してアクティブ化するように設計されています。
ローダーが最終的なペイロードをより効果的に保護できるほど、攻撃者が侵害されたインフラストラクチャをローテーションするために投資する必要があるリソースは少なくなります。BabbleLoader は、検出から自身を保護するためにさまざまな手法を採用しており、ローダーやクリプターがひしめく環境でも競争力を維持しています。
BabbleLoader マルウェアビデオ
ヒント:サウンドをオンにして、フルスクリーンモードでビデオを視聴します。
