باباديدا كريبتر

انفجر سوق العملات المشفرة إلى أكثر من 2.5 تريليون دولار. ومع ذلك ، يأتي النجاح مع عواقب أن تصبح هدفًا رئيسيًا لمجرمي الإنترنت الذين يقومون بإنشاء تهديدات للبرامج الضارة مصممة لاستغلال مجتمعات Crypto و NFT (الرموز غير القابلة للاستبدال) و DeFi (التمويل اللامركزي)خاصة. تم تحليل أحد هذه التهديدات المسمى Babadeda Crypter في تقرير أصدره محللون أمنيون.

يتم توزيع التهديد عبر خوادم Discord ويتم استخدامه كبرنامج ضار في المرحلة الأولية مسؤول عن نشر الحمولات الصافية المهددة - RATs (أحصنة طروادة للوصول عن بُعد) أو مخترقي المعلومات أو تهديدات برامج الفدية مثل LockBit . تشير بعض العناصر الموجودة في التحليل إلى أن مبتكري Babadeda Crypter هم أفراد ناطقون بالروسية

ناقل الهجوم الأولي

يتسلل ممثل التهديد إلى خوادم Discord المشروعة ، مثل تلك الخاصة بلعبة الكمبيوتر Mines of Dalarna كما هو مذكور في تقرير Morphisec Labs ، ويبدأ في نشر رسائل خاصة للتصيد الاحتيالي للمستخدمين الآخرين. في بعض رسائل الإغراء التي تمت ملاحظتها ، يتظاهر المتسللون وكأن الرابط الذي يقدمونه سيسمح للمستخدم المستهدف بالوصول إلى ميزات أو مزايا إضافية.ومع ذلك ، تؤدي الروابط الفاسدة إلى موقع شرك مخصص.

بذل المهاجمون جهدًا كبيرًا لجعل مواقعهم المزيفة مشابهة للمواقع الأصلية قدر الإمكان. يتأكدون من أن أسماء المجال الخاصة بالموقع المزيف تشبه الاسم الشرعي بمجرد إيقاف تشغيله. تم توقيع المجالات بشهادة لتمكين اتصال HTTPS. بعد ذلك ، يتم إنشاء التصميم الرسومي للصفحة لتقليد التصميم الأصلي. بالإضافة إلى ذلك ، يستخدمون عمليات إعادة التوجيه لإخفاء حقيقة أن النقر فوق الزر "تنزيل التطبيق" يؤدي إلى وجهة مشبوهة.

تقنيات التهرب واسعة النطاق

تأكد المتسللون من أن Babadeda Crypter مجهز بالعديد من تقنيات التهرب من الكشف. نتيجة لذلك ، يمكن للتهديد أن يتجاوز بسهولة أي حلول أمنية قائمة على التوقيع. على مراحل متعددة ، تتخلل الشفرة التالفة للتهديد بين التعليمات البرمجية للتطبيقات المشروعة لإخفاء نواياها الشائنة.

حتى ملفات التهديد مبعثرة بين ملفات تبدو شرعية. أولاً ، يقوم Babadeda Crypter بنسخ ملفاته المضغوطة إلى مجلد تم إنشاؤه حديثًا والذي تم إعطاؤه اسم صوت شرعي. سيتم وضع المجلد في أحد المواقع التالية:

ج: UsersAppDataRoaming

ج: UsersAppDataLocal

سيتم إسقاط العديد من الملفات الأخرى المأخوذة من تطبيقات مفتوحة المصدر أو تطبيقات مجانية في نفس المجلد. دون أخذ الوقت الكافي لفحص المجلد بالتفصيل ، قد يعتقد العديد من المستخدمين عن طريق الخطأ أنه ينتمي إلى تطبيق آمن.

تستخدم أنواع معينة من Babadeda Crypter أيضًا رسالة خطأ خادعة يتم عرضها للمستخدم عند تنفيذ التهديد. قد تعمل هذه الرسالة المزيفة كتقنية مراوغة أو يمكن ببساطة أن تكون بمثابة إلهاء لإخفاء الأنشطة الضارة للتهديد الذي يحدث في خلفية النظام.

Babadeda هو برنامج تشفير شديد الخطورة يمكنه توصيل حمولات قوية غير آمنة لأنظمة الضحية. إنه يتنكر كتطبيق شرعي ويستخدم طبقات متعددة من التشويش المعقد لتجنب الكشف. يجب أن يكون المستخدمون دائمًا على أهبة الاستعداد ويجب أن يتعاملوا مع أي رسالة من عروض تبدو مشبوهة من المصادر بحذر.