바바데다 크립터

암호화폐 시장은 2조 5천억 달러 이상의 가치로 폭발했습니다. 그러나 성공은 Crypto, NFT(Non-Fungible Token) 및 DeFi(탈중앙화 금융) 커뮤니티를 악용하는 맞춤형 악성코드 위협을 생성하는 사이버 범죄자의 주요 표적이 되는 결과를 낳습니다.구체적으로 특별히. Babadeda Crypter라는 위협 중 하나가 보안 분석가가 발표한 보고서에서 분석되었습니다.

이 위협은 Discord 서버를 통해 배포되며 위협적인 페이로드(RAT(원격 액세스 트로이 목마), 인포스틸러 또는 LockBit 과 같은 랜섬웨어 위협) 배포를 담당하는 초기 악성코드로 사용됩니다. 분석에서 발견된 특정 요소는 Babadeda Crypter의 제작자가 러시아어를 사용하는 개인임을 지적합니다.

초기 공격 벡터

위협 행위자는 Morphisec Labs 보고서에 언급된 PC 게임 Mines of Dalarna용 서버와 같은 합법적인 Discord 서버에 침투하여 다른 사용자에게 피싱 개인 메시지를 유포하기 시작합니다. 관찰된 일부 미끼 메시지에서 해커는 자신이 제공하는 링크를 통해 대상 사용자가 추가 기능이나 이점에 액세스할 수 있는 것처럼 가장합니다.그러나 손상된 링크는 전용 미끼 사이트로 연결됩니다.

공격자들은 가짜 사이트를 최대한 원본과 유사하게 만들기 위해 많은 노력을 기울입니다. 그들은 가짜 사이트의 도메인 이름이 한 글자만 빼면 합법적인 도메인 이름과 유사한지 확인합니다. 도메인은 HTTPS 연결을 활성화하기 위해 인증서로 서명됩니다. 그런 다음 페이지의 그래픽 디자인이 원본을 모방하도록 만들어집니다. 또한 '앱 다운로드' 버튼을 클릭하면 의심스러운 목적지로 연결된다는 사실을 숨기기 위해 리디렉션을 사용합니다.

광범위한 회피 기술

해커들은 Babadeda Crypter가 수많은 탐지 회피 기술을 갖추고 있는지 확인했습니다. 결과적으로 위협은 시그니처 기반 보안 솔루션을 쉽게 우회할 수 있습니다. 여러 단계에서 위협의 손상된 코드는 악의적인 의도를 숨기기 위해 합법적인 응용 프로그램의 코드 사이에 산재되어 있습니다.

위협의 파일조차도 합법적으로 보이는 파일 사이에 흩어져 있습니다. 첫째, Babadeda Crypter는 압축 파일을 합법적으로 들리는 이름이 부여된 새로 생성된 폴더에 복사합니다. 폴더는 다음 위치 중 하나에 배치됩니다.

C:UsersAppDataRoaming

C:UsersAppDataLocal

오픈 소스 또는 무료 응용 프로그램에서 가져온 수많은 다른 파일은 동일한 폴더에 삭제됩니다. 시간을 들이지 않고 폴더를 자세히 검사하지 않으면 많은 사용자가 폴더가 안전한 응용 프로그램에 속한다고 잘못 생각할 수 있습니다.

Babadeda Crypter의 특정 변종은 위협 실행 시 사용자에게 표시되는 미끼 오류 메시지도 사용합니다. 이 가짜 메시지는 회피 기법으로 작용하거나 단순히 시스템 배경에서 발생하는 위협의 유해한 활동을 숨기는 방해 역할을 할 수 있습니다.

Babadeda는 강력하고 안전하지 않은 페이로드를 피해자의 시스템에 전달할 수 있는 극도로 위협적인 암호화기입니다. 합법적인 응용 프로그램으로 가장하고 탐지를 피하기 위해 여러 계층의 복잡한 난독화를 사용합니다. 사용자는 항상 경계해야 하며 출처의 의심스러운 제안의 메시지에 주의하여 접근해야 합니다.