Babadeda Crypter

De markt voor cryptocurrency is geëxplodeerd tot een waardering van meer dan $ 2,5 biljoen. Het succes komt echter met de gevolgen dat het een belangrijk doelwit wordt voor cybercriminelen die malware-bedreigingen creëren die zijn afgestemd op het exploiteren van de Crypto-, NFT- (niet-fungible tokens) en DeFi-gemeenschappen (decentralized finance).specifiek. Een van die bedreigingen, Babadeda Crypter genaamd, werd geanalyseerd in een rapport van beveiligingsanalisten.

De dreiging wordt verspreid via Discord-servers en wordt gebruikt als malware in de eerste fase die verantwoordelijk is voor het inzetten van dreigende payloads - RAT's (Remote Access Trojans), infostealers of ransomware-bedreigingen zoals LockBit. Bepaalde elementen in de analyse wijzen erop dat de makers van de Babadeda-crypter Russisch sprekende individuen zijn.

Initiële aanvalsvector

De dreigingsactor infiltreert legitieme Discord-servers, zoals die voor de pc-game Mines of Dalarna, zoals vermeld in het Morphisec Labs-rapport, en begint phishing-privéberichten naar andere gebruikers te verspreiden. In sommige van de waargenomen lokberichten doen de hackers alsof de link die ze verstrekken de beoogde gebruiker toegang geeft tot extra functies of voordelen.De beschadigde links leiden echter naar een speciale loksite.

De aanvallers doen er alles aan om hun nepsites zo veel mogelijk op de originelen te laten lijken. Ze zorgen ervoor dat de domeinnamen van de nepsite lijken op de legitieme met slechts een letter eraf. De domeinen zijn ondertekend met een certificaat om HTTPS-verbinding mogelijk te maken. Vervolgens wordt het grafische ontwerp van de pagina gemaakt om het origineel na te bootsen. Bovendien gebruiken ze omleidingen om te verbergen dat het klikken op de 'Download APP'-knop naar een verdachte bestemming leidt.

Uitgebreide ontwijkingstechnieken

De hackers hebben ervoor gezorgd dat de Babadeda-crypter is uitgerust met tal van detectie-ontduikingstechnieken. Als gevolg hiervan kan de dreiging gemakkelijk alle op handtekeningen gebaseerde beveiligingsoplossingen omzeilen. In meerdere fasen wordt de corrupte code van de dreiging afgewisseld met code van legitieme applicaties om zijn snode bedoelingen te maskeren.

Zelfs de bestanden van de dreiging zijn verspreid over legitiem ogende bestanden. Eerst kopieert de Babadeda-crypter zijn gecomprimeerde bestanden naar een nieuw gegenereerde map die een legitiem klinkende naam krijgt. De map wordt op een van de volgende locaties geplaatst:

C:GebruikersAppDataRoaming

C:GebruikersAppDataLokaal

Talloze andere bestanden uit open-source of gratis applicaties worden in dezelfde map neergezet. Zonder de tijd te nemen om de map in detail te inspecteren, kunnen veel gebruikers ten onrechte denken dat deze bij een veilige toepassing hoort.

Bepaalde varianten van Babadeda Crypter gebruiken ook een lokfoutbericht dat aan de gebruiker wordt getoond wanneer de dreiging wordt uitgevoerd. Dit nepbericht kan fungeren als een ontwijkingstechniek of het kan gewoon dienen als afleiding en verbergt de schadelijke activiteiten van de dreiging die op de achtergrond van het systeem plaatsvindt.

Babadeda is een uiterst bedreigende encryptor die krachtige onveilige payloads kan leveren aan de systemen van het slachtoffer. Het doet zich voor als een legitieme toepassing en gebruikt meerdere lagen van complexe verduistering om detectie te voorkomen. Gebruikers moeten altijd op hun hoede zijn en elk bericht van verdacht klinkende aanbiedingen van bronnen met de nodige voorzichtigheid benaderen.