Babadeda Crypter

Il mercato delle criptovalute è esploso raggiungendo una valutazione di oltre $ 2,5 trilioni. Tuttavia, il successo arriva con le conseguenze di diventare un obiettivo primario per i criminali informatici che stanno creando minacce malware su misura per sfruttare le comunità Crypto, NFT (token non fungibili) e DeFi (finanza decentralizzata).nello specifico. Una di queste minacce denominata Babadeda Crypter è stata analizzata in un rapporto pubblicato dagli analisti della sicurezza.

La minaccia viene distribuita tramite i server Discord e viene utilizzata come malware nella fase iniziale responsabile della distribuzione di payload minacciosi: RAT (Trojan di accesso remoto), infostealer o minacce ransomware come LockBit. Alcuni elementi trovati nell'analisi indicano che i creatori del Babadeda Crypter erano individui di lingua russa.

Vettore di attacco iniziale

L'attore delle minacce si infiltra nei server Discord legittimi, come quello per il gioco per PC Mines of Dalarna, come menzionato nel rapporto Morphisec Labs, e inizia a diffondere messaggi privati di phishing ad altri utenti. In alcuni dei messaggi di richiamo osservati, gli hacker fingono che il collegamento che forniscono consentirà all'utente mirato di accedere a funzionalità o vantaggi aggiuntivi.Tuttavia, i collegamenti corrotti portano a un sito esca dedicato.

Gli aggressori hanno fatto grandi sforzi per rendere i loro siti falsi il più simili possibile agli originali. Si assicurano che i nomi di dominio del sito falso assomiglino a quello legittimo con solo una lettera. I domini sono firmati con un certificato per abilitare la connessione HTTPS. Quindi, viene creato il design grafico della pagina per imitare quello originale. Inoltre, utilizzano i reindirizzamenti per nascondere il fatto che facendo clic sul pulsante "Scarica APP" si accede a una destinazione sospetta.

Tecniche di evasione estese

Gli hacker si sono assicurati che il Babadeda Crypter sia dotato di numerose tecniche di rilevamento ed evasione. Di conseguenza, la minaccia può facilmente aggirare qualsiasi soluzione di sicurezza basata su firme. In più fasi, il codice corrotto della minaccia è inframmezzato dal codice di applicazioni legittime per mascherare le sue intenzioni nefaste.

Anche i file della minaccia sono sparsi tra file dall'aspetto legittimo. Innanzitutto, Babadeda Crypter copia i suoi file compressi in una cartella appena generata a cui è stato assegnato un nome dal suono legittimo. La cartella verrà posizionata in una delle seguenti posizioni:

C:UsersAppDataRoaming

C:UsersAppDataLocal

Numerosi altri file presi da applicazioni open source o gratuite verranno rilasciati nella stessa cartella. Senza prendersi il tempo di ispezionare la cartella in dettaglio, molti utenti potrebbero pensare erroneamente che appartenga a un'applicazione sicura.

Alcune varianti di Babadeda Crypter utilizzano anche un messaggio di errore esca che viene visualizzato all'utente al momento dell'esecuzione della minaccia. Questo falso messaggio può fungere da tecnica di evasione o può semplicemente servire come distrazione nascondendo le attività dannose della minaccia che si svolgono sullo sfondo del sistema.

Babadeda è un criptatore estremamente minaccioso che può fornire potenti payload non sicuri ai sistemi della vittima. Si maschera da applicazione legittima e utilizza più livelli di offuscamento complesso per evitare il rilevamento. Gli utenti devono sempre stare in guardia e devono affrontare con cautela qualsiasi messaggio proveniente da offerte sospette provenienti da fonti.