Babadeda Crypter

Kryptovaluuttamarkkinat ovat kasvaneet räjähdysmäisesti yli 2,5 biljoonan dollarin arvoon. Menestyksen seuraukset ovat kuitenkin seuraukset siitä, että siitä tulee ensisijainen kohde kyberrikollisille, jotka luovat haittaohjelmauhkia, jotka on räätälöity hyödyntämään krypto-, NFT- (non-fungible tokens) ja DeFi (hajautettu rahoitus) -yhteisöjä.erityisesti. Yksi tällainen uhka nimeltä Babadeda Crypter analysoitiin tietoturva-analyytikkojen julkaisemassa raportissa.

Uhkaa levitetään Discord-palvelimien kautta, ja sitä käytetään alkuvaiheen haittaohjelmina, jotka ovat vastuussa uhkaavien hyötykuormien - RAT:iden (Remote Access Trojans), tietovarastajien tai kiristysohjelmauhkien, kuten LockBitin, käyttöönotosta . Tietyt analyysissä löydetyt elementit viittaavat siihen, että Babadeda Crypterin luojat ovat venäjänkielisiä henkilöitä

Alkuperäinen hyökkäysvektori

Uhkatoimija tunkeutuu laillisiin Discord-palvelimiin, kuten PC-pelin Mines of Dalarna palvelimiin, kuten Morphisec Labsin raportissa mainitaan, ja alkaa jakaa yksityisiä tietojenkalasteluviestejä muille käyttäjille. Joissakin havaituissa houkutusviesteissä hakkerit teeskentelevät, että heidän tarjoamansa linkki antaisi kohdekäyttäjälle mahdollisuuden käyttää lisäominaisuuksia tai etuja.Vioittuneet linkit johtavat kuitenkin erityiselle houkutussivustolle.

Hyökkääjät tekivät paljon vaivaa tehdäkseen väärennetyistä sivustoistaan mahdollisimman samanlaisia kuin alkuperäiset. He varmistavat, että väärennetyn sivuston verkkotunnukset muistuttavat laillisia verkkotunnuksia vain kirjaimella. Verkkotunnukset on allekirjoitettu sertifikaatilla HTTPS-yhteyden mahdollistamiseksi. Sitten sivun graafinen suunnittelu luodaan jäljittelemään alkuperäistä. Lisäksi he käyttävät uudelleenohjauksia piilottaakseen sen tosiasian, että "Lataa sovellus" -painikkeen napsauttaminen johtaa epäilyttävään kohteeseen.

Laajat evaasiotekniikat

Hakkerit varmistivat, että Babadeda Crypter on varustettu lukuisilla havaitsemis-väistötekniikoilla. Tämän seurauksena uhka voi helposti ohittaa kaikki allekirjoituksiin perustuvat tietoturvaratkaisut. Useissa vaiheissa uhan vioittunut koodi on siroteltu laillisten sovellusten koodien joukkoon peittämään sen pahat aikeet.

Jopa uhkatiedostot ovat hajallaan laillisen näköisten tiedostojen joukossa. Ensinnäkin Babadeda Crypter kopioi pakatut tiedostonsa äskettäin luotuun kansioon, jolle annetaan oikealta kuulostava nimi. Kansio sijoitetaan johonkin seuraavista paikoista:

C:UsersAppDataRoaming

C:UsersAppDataLocal

Lukuisat muut avoimen lähdekoodin tai ilmaisista sovelluksista otetut tiedostot pudotetaan samaan kansioon. Käyttämättä aikaa kansion yksityiskohtaiseen tarkastamiseen, monet käyttäjät saattavat virheellisesti ajatella, että se kuuluu turvalliseen sovellukseen.

Tietyt Babadeda Crypterin versiot käyttävät myös houkutusvirheviestiä, joka näytetään käyttäjälle uhan suoritettaessa. Tämä valeviesti voi toimia väistötekniikkana tai se voi toimia yksinkertaisesti häiriötekijänä, joka piilottaa järjestelmän taustalla tapahtuvan uhan haitalliset toiminnot.

Babadeda on erittäin uhkaava salausohjelma, joka voi toimittaa voimakkaita vaarallisia hyötykuormia uhrin järjestelmiin. Se naamioituu lailliseksi sovellukseksi ja käyttää useita monimutkaisia hämäräkerroksia havaitsemisen välttämiseksi. Käyttäjien tulee aina olla varuillaan ja suhtautua kaikkiin lähteiden epäilyttävältä kuulostaviin tarjouksiin tuleviin viesteihin varoen.