Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Gut versteckte BabbleLoader-Malware enthüllt

Der BabbleLoader sorgt für Aufsehen: Mit dynamischen Tarntechniken und einer hochflexiblen Struktur liefert er Stealer-Malware wie WhiteSnake und Meduza direkt in den Speicher. Seine Fähigkeit, gezielt Sicherheitsmaßnahmen zu umgehen, macht ihn zu einer ernsten Bedrohung in der Cyberlandschaft.

Anwendungen und SystemeBedrohungen
Lesezeit 3 Min.

BabbleLoader umgeht gezielt Sicherheitsmechanismen wie Antivirenprogramme und virtuelle Analyseumgebungen (Sandboxen). Sein Hauptzweck besteht darin, sogenannte Stealer-Malware – Programme, die sensible Daten wie Passwörter oder Finanzinformationen stehlen – direkt in den Speicher eines Computers zu laden. Dies erschwert sowohl die Erkennung als auch die Abwehr. Die Verbreitung läuft über bösartige Websites, die als legitime Download-Seiten getarnt sind und gefälschte Software anbieten.

Laut Ryan Robinson, Sicherheitsforscher bei Intezer, ist BabbleLoader mit zahlreichen Techniken ausgestattet, um herkömmliche Sicherheitslösungen ins Leere laufen zu lassen. Es gibt Hinweise, dass die Schadsoftware bereits in verschiedenen Angriffskampagnen aktiv eingesetzt wird, die sich auf englisch- und russischsprachige Zielgruppen konzentrieren. Insbesondere richtet sich der Loader an Nutzer, die nach gecrackter Software suchen, und an Geschäftsleute im Finanz- und Verwaltungsbereich. Oft tarnt er sich als Buchhaltungssoftware.

Warum Loader wie BabbleLoader gefährlich sind

Loader sind inzwischen ein wichtiger Bestandteil moderner Malware-Angriffe. Sie dienen als „Türöffner“, um andere Schadprogramme wie Stealer, Ransomware oder Trojaner auf einem Zielsystem zu platzieren. Durch ihre Fähigkeit, traditionelle Abwehrmaßnahmen zu umgehen, machen sie viele Systeme anfällig. Bekannte Beispiele sind Dolphin Loader, FakeBat oder Hijack Loader, die ebenfalls zur Verbreitung gefährlicher Schadprogramme wie CryptBot oder SmokeLoader genutzt werden.

Wichtige Techniken von BabbleLoader

  1. Junk-Code und metamorphe Transformationen
    • Der Loader verändert ständig seine Struktur und Abläufe, sodass Sicherheitslösungen keine klaren Muster erkennen können.
  2. Dynamische API-Auflösung
    • Funktionen werden erst bei der Ausführung geladen, was eine Analyse im Vorfeld erschwert.
  3. Anti-Sandboxing-Maßnahmen
    • Der Loader erkennt, ob er in einer virtuellen Umgebung läuft, und beendet sich, um keine Hinweise auf sein Verhalten preiszugeben.
  4. Verrauschter Code
    • Übermäßige Verwendung von bedeutungslosem Code führt dazu, dass Analyse-Tools wie IDA oder Ghidra abstürzen und Experten gezwungen sind, den Code manuell zu analysieren.

BabbleLoader zeichnet sich durch eine extrem flexible und schwer nachvollziehbare Struktur aus, da jedes Exemplar des Loaders einzigartig gestaltet ist. „Jedes Build des Loaders hat eindeutige Strings, eindeutige Metadaten, eindeutigen Code, eindeutige Hashes, eindeutige Verschlüsselung und einen eindeutigen Kontrollfluss“, so Robinson. „Jedes Exemplar ist strukturell einzigartig mit nur wenigen gemeinsamen Codeschnipseln. Sogar die Metadaten der Datei werden für jedes Exemplar randomisiert“.

Diese stetige Variation stellt eine große Herausforderung für Erkennungssysteme dar, insbesondere für KI-Modelle. Da der Code ständig angepasst wird, müssen die Modelle immer wieder neu lernen, was sie identifizieren sollen. Dies führt häufig zu verpassten Erkennungen oder sogar zu falsch positiven Ergebnissen.

Wie BabbleLoader funktioniert

Der Hauptzweck des Loaders besteht darin, Shellcode zu laden. Dieser Shellcode entschlüsselt und aktiviert anschließend einen weiteren Loader – den sogenannten Donut-Loader –, der schließlich die eigentliche Malware, wie Stealer-Programme, entpackt und ausführt. Diese Stealer-Malware stiehlt sensible Informationen wie Passwörter oder Finanzdaten.

Der Loader ist darauf ausgelegt, die eigentliche Malware-Nutzlast so gut wie möglich zu schützen. „Je besser dies gelingt, desto weniger Ressourcen müssen die Bedrohungsakteure aufwenden, um die verbrannte Infrastruktur zu verändern“, so Robinson abschließend.  BabbleLoader ist so gestaltet, dass er eine möglichst große Zahl von Erkennungsmethoden umgeht und dadurch auf dem Markt für Malware-Loader und Crypter wettbewerbsfähig bleibt.

Zeitgleich auftretende Bedrohungen

Die Entdeckung von BabbleLoader fällt mit anderen bedrohlichen Entwicklungen in der Cyberkriminalität zusammen:

  1. Neue Version von LodaRAT
    • LodaRAT ist eine Malware, die seit 2016 aktiv ist und nun in einer verbesserten Version auftritt. Sie kann Cookies und Passwörter aus Browsern wie Microsoft Edge und Brave stehlen, weitere Malware verbreiten und vollständige Fernzugriffe auf infizierte Systeme ermöglichen. Laut Rapid7 wird LodaRAT oft zusammen mit anderen Malware-Familien wie AsyncRAT, Remcos und XWorm verbreitet.
  2. Mr.Skeleton RAT
    • Diese neue Malware basiert auf njRAT und wird im Cybercrime-Untergrund gehandelt. Sie bietet Funktionen wie Fernzugriff, Keylogging, Datei- und Ordnermanipulation, Remote-Shell-Zugriff und sogar die Fernsteuerung der Kamera infizierter Geräte.

 BabbleLoader steht beispielhaft für die immer raffinierteren Methoden, die Cyberkriminelle nutzen, um Sicherheitsmaßnahmen zu umgehen. Die Kombination aus ständiger Code-Variation und starken Schutzmaßnahmen gegen Erkennung macht ihn zu einer ernsten Bedrohung. Gleichzeitig verdeutlicht die Verbreitung von Malware wie LodaRAT und Mr.Skeleton RAT, dass Angreifer ihre Werkzeuge ständig weiterentwickeln, um neue Schwachstellen auszunutzen und Sicherheitslösungen zu überlisten.

 

Weitere Artikel zum Thema:

Infostealer und Loader nicht unterschätzen

Angreifer aus dem Black-Basta-Umfeld droppen SystemBC-Malware

DarkGate-Malware tarnt sich für versteckte Cyberangriffe

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.