Babadeda Crypter

Kryptovalutamarkedet er eksploderet til en værdiansættelse på mere end 2,5 billioner dollars. Succesen kommer dog med konsekvenserne af at blive et primært mål for cyberkriminelle, der skaber malware-trusler, der er skræddersyet til at udnytte Crypto-, NFT- (ikke-fungible tokens) og DeFi (decentraliseret finans) fællesskaberspecifikt. En sådan trussel ved navn Babadeda Crypter blev analyseret i en rapport udgivet af sikkerhedsanalytikere.

Truslen distribueres via Discord-servere og bruges som en indledende malware, der er ansvarlig for at implementere truende nyttelaster - RAT'er (Remote Access Trojans), infostealers eller ransomware-trusler såsom LockBit. Visse elementer fundet i analysen peger i retning af, at skaberne af Babadeda Crypter er russisktalende personer.

Indledende angrebsvektor

Trusselsaktøren infiltrerer legitime Discord-servere, såsom den til pc-spillet Mines of Dalarna som nævnt i Morphisec Labs-rapporten, og begynder at sprede private phishing-beskeder til andre brugere. I nogle af de observerede lokkemeddelelser foregiver hackerne, som om det link, de giver, vil give den målrettede bruger adgang til yderligere funktioner eller fordele.De korrupte links fører dog til et dedikeret lokkested.

Angriberne gjorde en stor indsats for at gøre deres falske sider så lig originalerne som muligt. De sørger for, at domænenavnene på det falske websted ligner det legitime med blot et bogstav. Domænerne er signeret med et certifikat for at aktivere HTTPS-forbindelse. Derefter oprettes sidens grafiske design for at efterligne den originale. Derudover bruger de omdirigeringer til at skjule det faktum, at et klik på 'Download APP'-knappen fører til en mistænkelig destination.

Omfattende undvigelsesteknikker

Hackerne sørgede for, at Babadeda Crypter er udstyret med adskillige detektions-unddragelsesteknikker. Som et resultat kan truslen nemt omgå enhver signaturbaseret sikkerhedsløsning. På flere stadier er den korrupte kode for truslen indblandet i koden for legitime applikationer for at maskere dens uhyggelige hensigter.

Selv truslens filer er spredt blandt legitimt udseende filer. Først kopierer Babadeda Crypter sine komprimerede filer til en nyligt genereret mappe, der får et legitimt klingende navn. Mappen vil blive placeret et af følgende steder:

C:UsersAppDataRoaming

C:UsersAppDataLocal

Talrige andre filer taget fra open source eller gratis applikationer vil blive droppet i den samme mappe. Uden at tage sig tid til at inspicere mappen i detaljer, kan mange brugere fejlagtigt tro, at den tilhører en sikker applikation.

Visse varianter af Babadeda Crypter anvender også en lokkefejlmeddelelse, der vises til brugeren ved truslens eksekvering. Denne falske besked kan fungere som en unddragelsesteknik, eller den kan simpelthen tjene som en distraktion, der skjuler truslens skadelige aktiviteter, der finder sted i systemets baggrund.

Babadeda er en ekstremt truende kryptering, der kan levere potente usikre nyttelaster til ofrets systemer. Det udgiver sig som en legitim applikation og bruger flere lag af kompleks sløring for at undgå opdagelse. Brugere skal altid være på deres vagt og bør nærme sig enhver besked fra mistænkeligt klingende tilbud fra kilder med forsigtighed.