Криптър Бабадада

Пазарът на криптовалута избухна до оценка от над 2,5 трилиона долара. Успехът обаче идва с последиците от това да станете основна цел за киберпрестъпниците, които създават заплахи за злонамерен софтуер, пригодени да експлоатират общностите на Crypto, NFT (незаменими токени) и DeFi (децентрализирани финанси).конкретно. Една такава заплаха, наречена Babadeda Crypter, беше анализирана в доклад, публикуван от анализатори по сигурността.

Заплахата се разпространява чрез сървъри на Discord и се използва като зловреден софтуер в начален етап, отговорен за разгръщането на заплашителни полезни натоварвания - RAT (троянски коне за отдалечен достъп), кражби на информация или заплахи за ransomware като LockBit . Някои елементи, открити в анализа, сочат към това, че създателите на Babadeda Crypter са рускоезични хора

Начален вектор на атака

Заплахата инфилтрира легитимни сървъри на Discord, като този за компютърната игра Mines of Dalarna, както е посочено в доклада на Morphisec Labs, и започва да разпространява фишинг лични съобщения до други потребители. В някои от наблюдаваните съобщения за примамка, хакерите се преструват, че предоставената от тях връзка ще позволи на целевия потребител да получи достъп до допълнителни функции или предимства.Въпреки това, повредените връзки водят до специален сайт за примамка.

Нападателите полагат големи усилия, за да направят своите фалшиви сайтове възможно най-подобни на оригиналните. Те се уверяват, че имената на домейни на фалшивия сайт приличат на легитимния само с изключена буква. Домейните са подписани със сертификат за активиране на HTTPS връзка. След това се създава графичният дизайн на страницата, за да имитира оригиналния. Освен това те използват пренасочвания, за да скрият факта, че щракването върху бутона „Изтегляне на приложение" води до подозрителна дестинация.

Разширени техники за избягване

Хакерите се увериха, че Babadeda Crypter е оборудван с множество техники за откриване и избягване. В резултат на това заплахата може лесно да заобиколи всякакви решения за сигурност, базирани на подписи. На множество етапи повреденият код на заплахата се разпръсква между кода на легитимни приложения, за да прикрие нейните злобни намерения.

Дори файловете на заплахата са разпръснати между легитимно изглеждащи файлове. Първо, Babadeda Crypter копира своите компресирани файлове в новогенерирана папка, на която е дадено законно звучащо име. Папката ще бъде поставена на едно от следните места:

C:UsersAppDataRoaming

C:UsersAppDataLocal

Много други файлове, взети от приложения с отворен код или безплатни приложения, ще бъдат пуснати в същата папка. Без да отделят време за детайлна проверка на папката, много потребители може погрешно да помислят, че тя принадлежи на безопасно приложение.

Някои варианти на Babadeda Crypter също използват съобщение за грешка при примамка, което се показва на потребителя при изпълнение на заплахата. Това фалшиво съобщение може да действа като техника за избягване или просто да служи като отвличане на вниманието, прикривайки вредните дейности на заплахата, извършвани на фона на системата.

Babadeda е изключително заплашителен криптор, който може да достави мощни опасни полезни товари на системите на жертвата. Той се маскира като легитимно приложение и използва множество слоеве на сложно обфускиране, за да избегне откриването. Потребителите винаги трябва да бъдат нащрек и трябва да подхождат с повишено внимание към всяко съобщение от подозрително звучащи оферти от източници.