BabaDeda эволюционировал: скрытный загрузчик атакует через память
BabaDeda усилил скрытность и научился обходить detection: что известно о новом этапе атаки
Семейство загрузчиков BabaDeda заметно эволюционировало и получило новые возможности в области скрытности, обхода обнаружения и гибкости delivery payload. По данным исследования, обнаруженного в апреле 2026 года, этот framework продолжает маскировать malicious payload, усложняя работу защитных решений и традиционных средств видимости.
Исследователи Morphisec установили прямую связь между malicious activity и инфраструктурой BabaDeda с помощью code genealogy analysis. Внутри кода загрузчика обнаружены distinctive identifiers, включая внутренний рабочий процесс обработчика задач, помеченный BABADEDA, а также константу 0xBABADEDA. Это, по оценке специалистов, подтверждает его operational status в активных campaigns, а не existence только в controlled environment.
Модульная цепочка атаки и маскировка payload
Attack chain построена на modular components, отвечающих за delivery, execution и deployment payload. При этом каждая часть по отдельности выглядит безобидно, что затрудняет выявление угрозы на раннем этапе.
Истинная payload, например, хранится в innocuous files, таких как List.Control.dat, что позволяет скрыть ее присутствие от стандартных средств visibility. Для запуска используются techniques like reflection loading и shellcode loading, благодаря чему infection почти не оставляет следов на disk.
Как запускается атака
Сценарий compromise начинается с того, что victims посещают malicious website и получают предложение выполнить команду PowerShell под видом проверки. После этого команда вызывает script, который запускается in-memory, обходя typical detection mechanisms и подготавливая дальнейшие действия.
- первоначальный запуск происходит через PowerShell;
- код выполняется in-memory, без заметных артефактов на disk;
- после запуска loader проверяет географическое расположение жертвы;
- системы из Russia или Belarus завершают цепочку атаки.
Затем BabaDeda загружает subsequent components через unencrypted HTTP и внедряет их в trusted processes, включая svchost.exe.
Что доставляется на зараженные системы
Среди доставляемых компонентов — .NET backdoor и information stealer. Последний способен профилировать host, устанавливать encrypted channel связи с server управления и собирать sensitive data, включая browser cookies и saved credentials.
Другой path атаки доставляет package, имитирующий legitimate software. Внутри него находятся files, которые в итоге подгружают malicious DLL. Эта DLL извлекает и декодирует real component из external storage, а затем выполняет его in-memory с помощью legitimate Windows callback functions.
Почему традиционное обнаружение оказывается неэффективным
Структура этой attack делает traditional detection methods малопродуктивными. Поскольку malicious code хранится внутри legitimate files и исполняется только in-memory, signature-based scanning часто не позволяет выявить threat.
Дополнительную сложность создают deception checks, встроенные в operation для уклонения от analysis. В результате средства защиты, ориентированные в первую очередь на detection, оказываются в менее выгодной позиции.
«Для противодействия таким adaptive threats становится необходимым подход к security, ориентированный на
prevention», — следует из оценки Morphisec.
Что рекомендуют исследователи
Morphisec подчеркивает необходимость блокировать execution of malware до того, как он произойдет. Для этого предлагается использовать techniques, которые скрывают memory runtime environment и мешают успешному deployment evasive payload.
В компании отдельно отмечают: ожидание на этапе detection дает malicious software время закрепиться в системе. Поэтому приоритетом должно стать более раннее intervention, а не реакция постфактум.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
