Исследователи кибербезопасности обнаружили новый скрытый загрузчик вредоносного ПО BabbleLoader, используемый для распространения программ-шпионов, таких как WhiteSnake и Meduza. BabbleLoader обладает высокой скрытностью и обходит антивирусные программы и системы песочниц. Загрузчик маскируется под взломанное ПО и бухгалтерские приложения, привлекая внимание пользователей.
Загрузчики — популярный способ доставки вредоносного ПО, включая программы-вымогатели и шпионские программы. BabbleLoader использует сложные механизмы защиты, такие как мусорный код и метаморфозы, чтобы избежать обнаружения. Он активирует функции только во время выполнения и рандомизирует метаданные файлов.
Загрузчик отвечает за загрузку шелл-кода, который подготавливает путь для загрузчика Donut. Затем Donut распаковывает и запускает вредоносное ПО. Эти загрузчики защищают конечные полезные нагрузки, снижая затраты на замену повреждённой инфраструктуры.
За недавнее время также были обнаружены другие загрузчики, такие как Dolphin Loader, Emmenhtal и FakeBat, которые использовались для распространения различных вредоносных программ. Среди них — CryptBot, Lumma Stealer и Ursnif.
Эти загрузчики обходят традиционные методы обнаружения, включая системы на базе ИИ, и требуют ручного анализа. Каждая сборка загрузчика уникальна, включая уникальный код, хэши и шифрование.