摘要：网络安全研究人员发现了一种名为 BabbleLoader 的新型隐秘恶意软件加载器，该加载器已被观察到在野外提供WhiteSnake和Meduza等信息窃取木马。

网络安全研究人员发现了一种名为 BabbleLoader 的新型隐秘恶意软件加载器，该加载器已被观察到在野外提供WhiteSnake和Meduza等信息窃取木马。

Intezer 安全研究员 Ryan Robinson在周日发布的一份报告中表示， BabbleLoader 是一种“极具规避性的加载器，配备了多种防御机制，旨在绕过防病毒和沙盒环境，将窃取程序传送到内存中”。

证据表明，该加载程序被用于针对英语和俄语个人的几项活动，主要通过将其伪装成会计软件来针对寻找通用破解软件的用户以及金融和行政管理领域的商业专业人士。

加载器已经成为一种越来越流行的传播恶意软件（如窃取程序或勒索软件）的方法，它通常充当攻击链的第一阶段，通过结合一系列反分析和反沙盒功能来绕过传统的防病毒防御措施。

近年来不断涌现的新加载器家族就是明证。其中包括但不限于Dolphin Loader、Emmenhtal、FakeBat和Hijack Loader等，它们被用来传播各种有效载荷，如 CryptBot、Lumma Stealer、SectopRAT、SmokeLoader和 Ursnif。

BabbleLoader 的突出之处在于它集成了各种规避技术，可以欺骗传统和基于 AI 的检测系统。这包括使用垃圾代码和变形转换来修改加载器的结构和流程，以绕过基于签名和行为的检测。

它还通过仅在运行时解析必要的函数来绕过静态分析，同时采取措施阻止沙盒环境中的分析。此外，过多添加无意义、嘈杂的代码会导致 IDA、Ghidra 和 Binary Ninja 等反汇编或反编译工具崩溃，从而迫使进行手动分析。

“加载器的每个版本都有独特的字符串、独特的元数据、独特的代码、独特的哈希值、独特的加密和独特的控制流。”罗宾逊说。“每个样本的结构都是独一无二的，只有几段共享的代码。甚至每个样本的文件元数据都是随机的。”

“代码结构的不断变化迫使人工智能模型不断地重新学习要寻找的内容——这个过程常常导致漏检或误报。”

加载器的核心是负责加载 shellcode，然后为解密代码铺平道路，Donut 加载器则解压并执行窃取恶意软件。

“加载器对最终有效载荷的保护越好，威胁组织需要花费的资源就越少，以轮换被摧毁的基础设施。”罗宾逊总结道。“BabbleLoader 采取措施，尽可能多地防范各种形式的检测，以便在拥挤的加载器/加密器市场中竞争。”

这一进展是在 Rapid7 详细介绍了一项新的恶意软件活动时发生的，该活动分发了新版本的LodaRAT，该病毒能够窃取 Microsoft Edge 和 Brave 的 cookie 和密码，此外还能收集各种敏感数据、传播更多恶意软件并授予对受感染主机的远程控制权。该病毒自 2016 年 9 月以来一直活跃。

Rapid7 表示，“发现 Donut loader 和 Cobalt Strike 正在分发新版本”，并且“在感染了其他恶意软件家族（如 AsyncRAT、Remcos、XWorm 等）的系统上观察到了 LodaRAT”。这些感染之间的确切关系仍不清楚。

此前还发现了基于 njRAT 的新恶意软件Mr.Skeleton RAT，该恶意软件已在网络犯罪论坛中传播，具有“远程访问和桌面操作、文件/文件夹和注册表操作、远程 shell 执行、键盘记录以及设备摄像头的远程控制”功能。

技术报告：

新闻链接：

来源：会杀毒的单反狗