Kryptér Babadeda

Trh s kryptoměnami explodoval na hodnotu více než 2,5 bilionu dolarů. Úspěch však přichází s důsledky toho, že se stanou hlavním cílem kyberzločinců, kteří vytvářejí malwarové hrozby šité na míru ke zneužití komunit Crypto, NFT (nezastupitelné tokeny) a DeFi (decentralizované finance).konkrétně. Jedna taková hrozba jménem Babadeda Crypter byla analyzována ve zprávě zveřejněné bezpečnostními analytiky.

Hrozba je distribuována prostřednictvím serverů Discord a používá se jako malware v počáteční fázi odpovědný za nasazování ohrožujících užitečných zátěží – RAT (Remote Access Trojans), infostealery nebo hrozby ransomwaru, jako je LockBit . Některé prvky nalezené v analýze ukazují, že tvůrci krypty Babadeda jsou rusky mluvící jednotlivci

Vektor počátečního útoku

Aktér ohrožení infiltruje legitimní servery Discord, jako je ten pro PC hru Mines of Dalarna, jak je zmíněno ve zprávě Morphisec Labs, a začne šířit phishingové soukromé zprávy dalším uživatelům. V některých pozorovaných návnadách hackeři předstírají, že odkaz, který poskytují, umožní cílovému uživateli přístup k dalším funkcím nebo výhodám.Poškozené odkazy však vedou na vyhrazenou návnadu.

Útočníci vynaložili velké úsilí, aby jejich falešné stránky byly co nejvíce podobné originálům. Zajišťují, aby se názvy domén falešného webu podobaly tomu legitimnímu s pouhým písmenem mimo. Domény jsou podepsány certifikátem umožňujícím připojení HTTPS. Poté je vytvořen grafický design stránky tak, aby napodoboval původní. Kromě toho používají přesměrování, aby skryli skutečnost, že kliknutí na tlačítko „Stáhnout aplikaci" vede k podezřelému cíli.

Rozsáhlé únikové techniky

Hackeři se ujistili, že Babadeda Crypter je vybavena četnými detekčními a únikovými technikami. Výsledkem je, že hrozba může snadno obejít všechna bezpečnostní řešení založená na signaturách. V několika fázích je poškozený kód hrozby rozptýlen mezi kódy legitimních aplikací, aby maskovaly její nekalé záměry.

Dokonce i soubory hrozby jsou rozptýleny mezi legitimně vypadající soubory. Za prvé, Babadeda Crypter zkopíruje své komprimované soubory do nově vygenerované složky, která dostane legitimně znějící jméno. Složka bude umístěna do jednoho z následujících umístění:

C:UsersAppDataRoaming

C:UsersAppDataLocal

Mnoho dalších souborů převzatých z open source nebo bezplatných aplikací bude umístěno do stejné složky. Aniž by si udělali čas na podrobnou kontrolu složky, mnoho uživatelů se může mylně domnívat, že patří do bezpečné aplikace.

Některé varianty Babadeda Crypter také využívají návnadu chybovou zprávu, která se uživateli zobrazí po spuštění hrozby. Tato falešná zpráva může fungovat jako úniková technika nebo může jednoduše sloužit jako rozptýlení zakrývající škodlivé aktivity hrozby odehrávající se na pozadí systému.

Babadeda je extrémně hrozivý šifrovač, který dokáže do systémů oběti doručit mocné nebezpečné zatížení. Vydává se za legitimní aplikaci a používá několik vrstev složitého zatemňování, aby se zabránilo odhalení. Uživatelé musí být vždy ve střehu a ke každé zprávě z podezřele znějících nabídek ze zdrojů by měli přistupovat opatrně.