Babadeda Crypter
Rynek kryptowalut eksplodował, osiągając wycenę ponad 2,5 biliona dolarów. Jednak sukces wiąże się z konsekwencjami stania się głównym celem cyberprzestępców, którzy tworzą zagrożenia złośliwe oprogramowanie dostosowane do wykorzystywania społeczności Crypto, NFT (nie wymienialnych tokenów) i DeFi (zdecentralizowane finanse).konkretnie. Jedno z takich zagrożeń o nazwie Babadeda Crypter zostało przeanalizowane w raporcie opublikowanym przez analityków bezpieczeństwa.
Zagrożenie jest dystrybuowane za pośrednictwem serwerów Discord i jest wykorzystywane jako złośliwe oprogramowanie na początkowym etapie odpowiedzialne za wdrażanie zagrażających ładunków — RAT (trojanów zdalnego dostępu), kradzieży informacji lub zagrożeń ransomware, takich jak LockBit. Pewne elementy znalezione w analizie wskazują na to, że twórcami Cryptera Babadeda są osoby rosyjskojęzyczne.
Początkowy wektor ataku
Ten cyberprzestępca infiltruje legalne serwery Discord, takie jak serwer gry na PC Mines of Dalarna, jak wspomniano w raporcie Morphisec Labs, i zaczyna rozpowszechniać prywatne wiadomości phishingowe wśród innych użytkowników. W niektórych obserwowanych wiadomościach z przynętą hakerzy udają, że podany przez nich link umożliwi docelowemu użytkownikowi dostęp do dodatkowych funkcji lub korzyści.Jednak uszkodzone linki prowadzą do dedykowanej strony wabiącej.
Osoby atakujące dokładają wszelkich starań, aby ich fałszywe strony były jak najbardziej zbliżone do oryginałów. Dbają o to, aby nazwy domen fałszywej witryny przypominały legalną, z wyjątkiem litery. Domeny są podpisane certyfikatem umożliwiającym połączenie HTTPS. Następnie tworzony jest projekt graficzny strony naśladujący oryginał. Ponadto używają przekierowań, aby ukryć fakt, że kliknięcie przycisku „Pobierz aplikację" prowadzi do podejrzanego miejsca docelowego.
Rozbudowane techniki unikania
Hakerzy upewnili się, że Crypter Babadeda jest wyposażony w liczne techniki wykrywania i unikania. W rezultacie zagrożenie może z łatwością ominąć wszelkie rozwiązania zabezpieczające oparte na sygnaturach. Na wielu etapach uszkodzony kod zagrożenia jest przeplatany kodem legalnych aplikacji, aby zamaskować jego nikczemne zamiary.
Nawet pliki zagrożenia są rozrzucone wśród legalnie wyglądających plików. Po pierwsze, Babadeda Crypter kopiuje swoje skompresowane pliki do nowo wygenerowanego folderu, któremu nadano legalnie brzmiącą nazwę. Folder zostanie umieszczony w jednej z następujących lokalizacji:
C:UżytkownicyAppDataRoaming
C:UsersAppDataLocal
Wiele innych plików pobranych z otwartych lub bezpłatnych aplikacji zostanie umieszczonych w tym samym folderze. Bez poświęcania czasu na szczegółowe sprawdzenie folderu, wielu użytkowników może błędnie pomyśleć, że należy on do bezpiecznej aplikacji.
Niektóre warianty Babadeda Crypter zawierają również komunikat o błędzie wabika, który jest wyświetlany użytkownikowi po wykonaniu zagrożenia. Ta fałszywa wiadomość może działać jako technika omijania lub po prostu odwracać uwagę, ukrywając szkodliwe działania zagrożenia mające miejsce w tle systemu.
Babadeda to niezwykle groźny program szyfrujący, który może dostarczać do systemów ofiary potencjalnie niebezpieczne ładunki. Podszywa się pod legalną aplikację i wykorzystuje wiele warstw złożonego zaciemniania, aby uniknąć wykrycia. Użytkownicy muszą zawsze mieć się na baczności i ostrożnie podchodzić do każdej wiadomości z podejrzanie brzmiących ofert ze źródeł.
