Malware BabbleLoader
Los expertos en ciberseguridad han identificado una nueva amenaza altamente encubierta conocida como BabbleLoader, que se ha observado que utiliza herramientas de robo de información como White Snake y Meduza .
BabbleLoader emplea tácticas de evasión avanzadas, con mecanismos de defensa robustos para eludir los programas antivirus y los entornos sandbox. Su propósito es cargar los ladrones directamente en la memoria. Los informes indican que BabbleLoader se ha utilizado en múltiples campañas dirigidas a audiencias de habla inglesa y rusa. Estas operaciones se centran principalmente en usuarios que buscan software pirateado y profesionales de negocios con funciones financieras y administrativas, camuflándose como software de contabilidad.
Tabla de contenido
El papel de los cargadores en los ataques de malware
Los cargadores se han convertido en un método ampliamente utilizado para implementar amenazas como los programas de robo de datos y el ransomware, y suelen servir como fase inicial de un ataque. Están diseñados para evadir la detección de los antivirus tradicionales mediante la integración de técnicas exhaustivas de antianálisis y antisandboxing.
Esta tendencia es evidente en el surgimiento continuo de nuevas familias de cargadores en los últimos años. Algunos ejemplos son Dolphin Loader, Emmental, FakeBat y Hijack Loader , que se han utilizado para distribuir diversas cargas útiles, entre ellas CryptBot , Lumma Stealer , SectopRAT , SmokeLoader y Ursnif .
BabbleLoader está equipado con numerosas técnicas de evasión
BabbleLoader destaca por sus sofisticadas técnicas de evasión, que pueden engañar tanto a los sistemas de detección tradicionales como a los impulsados por IA. Estos métodos incluyen el uso de código basura y transformaciones metamórficas, que alteran la estructura del cargador y el flujo de ejecución para eludir los análisis basados en firmas y comportamiento.
El cargador evita el análisis estático al resolver funciones críticas solo en tiempo de ejecución y emplea medidas para frustrar los exámenes basados en sandbox. Además, incorpora cantidades excesivas de código sin sentido, diseñado para abrumar y bloquear herramientas de desensamblado o descompilación como IDA, Ghidra y Binary Ninja, lo que requiere un análisis manual.
Cada iteración de BabbleLoader está diseñada de manera única y cuenta con cadenas, metadatos, código, hashes, métodos de cifrado y flujos de control distintos. Si bien las muestras individuales comparten fragmentos de código mínimos, sus estructuras son principalmente únicas. Incluso los metadatos de los archivos se aleatorizan para ocultar aún más los patrones.
Esta variación continua obliga a los modelos de detección de IA a adaptarse constantemente, lo que a menudo da como resultado detecciones fallidas o falsos positivos debido a los cambios rápidos e impredecibles en el diseño del cargador.
BabbleLoader allana el camino para una mayor vulneración de los sistemas
En esencia, BabbleLoader está diseñado para cargar un shellcode que posteriormente descifra y entrega un cargador Donut, que luego descomprime y activa el malware ladrón.
Cuanto más eficazmente puedan los cargadores proteger las cargas útiles finales, menos recursos tendrán que invertir los atacantes en rotar la infraestructura comprometida. BabbleLoader emplea varias técnicas para protegerse de la detección, lo que le permite seguir siendo competitivo en el abarrotado panorama de los cargadores y los encriptadores.
Video Malware BabbleLoader
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
