Babadeda Crypter

Kryptovalutamarkedet har eksplodert til en verdi på mer enn 2,5 billioner dollar. Suksessen kommer imidlertid med konsekvensene av å bli et hovedmål for nettkriminelle som skaper trusler mot skadelig programvare skreddersydd for å utnytte fellesskapene Crypto, NFT (ikke-fungible tokens) og DeFi (desentralisert finans).nærmere bestemt. En slik trussel kalt Babadeda Crypter ble analysert i en rapport utgitt av sikkerhetsanalytikere.

Trusselen distribueres via Discord-servere og brukes som skadevare i innledende fase som er ansvarlig for å distribuere truende nyttelaster - RAT-er (Remote Access-trojanere), infostelere eller løsepenge-trusler som LockBit . Enkelte elementer funnet i analysen peker mot at skaperne av Babadeda Crypter er russisktalende individer

Innledende angrepsvektor

Trusselaktøren infiltrerer legitime Discord-servere, slik som den for PC-spillet Mines of Dalarna som nevnt i Morphisec Labs-rapporten, og begynner å spre private meldinger om phishing til andre brukere. I noen av de observerte lokkemeldingene later hackerne som om koblingen de gir vil gi den målrettede brukeren tilgang til flere funksjoner eller fordeler.Imidlertid fører de ødelagte koblingene til et dedikert lokkested.

Angriperne legger stor vekt på å gjøre de falske sidene deres så like originalene som mulig. De sørger for at domenenavnene til det falske nettstedet ligner det legitime med bare et brev. Domenene er signert med et sertifikat for å aktivere HTTPS-tilkobling. Deretter lages den grafiske utformingen av siden for å etterligne den originale. I tillegg bruker de omdirigeringer for å skjule det faktum at å klikke på 'Last ned APP'-knappen fører til en mistenkelig destinasjon.

Omfattende unnvikelsesteknikker

Hackerne sørget for at Babadeda Crypter er utstyrt med en rekke deteksjonsunnvikelsesteknikker. Som et resultat kan trusselen enkelt omgå alle signaturbaserte sikkerhetsløsninger. På flere stadier er den korrupte koden til trusselen ispedd koden for legitime applikasjoner for å maskere dens uhyggelige intensjoner.

Selv filene til trusselen er spredt blant legitime filer. Først kopierer Babadeda Crypter de komprimerte filene til en nylig generert mappe som får et navn som lyder legitimt. Mappen vil bli plassert på ett av følgende steder:

C:UsersAppDataRoaming

C:UsersAppDataLocal

Tallrike andre filer hentet fra åpen kildekode eller gratis applikasjoner vil bli droppet i samme mappe. Uten å ta seg tid til å inspisere mappen i detalj, kan mange brukere feilaktig tro at den tilhører en sikker applikasjon.

Enkelte varianter av Babadeda Crypter bruker også en lokkefeilmelding som vises til brukeren når trusselen blir henrettet. Denne falske meldingen kan fungere som en unnvikelsesteknikk, eller den kan ganske enkelt tjene som en distraksjon som skjuler de skadelige aktivitetene til trusselen som finner sted i bakgrunnen av systemet.

Babadeda er en ekstremt truende kryptering som kan levere potente usikre nyttelaster til offerets systemer. Det maskerer seg som en legitim applikasjon og bruker flere lag med kompleks tilsløring for å unngå oppdagelse. Brukere må alltid være på vakt og bør nærme seg alle meldinger fra mistenkelig lydende tilbud fra kilder med forsiktighet.