Babadeda Crypter

O mercado de criptomoedas explodiu para uma avaliação de mais de US $2,5 trilhões. No entanto, o sucesso vem com as consequências de se tornar o alvo principal dos cibercriminosos que estão criando ameaças de malware sob medida para explorar as comunidades Crypto, NFT (tokens não fungíveis) e DeFi (finanças descentralizadas)especificamente. Uma dessas ameaças, chamada Babadeda Crypter, foi analisada em um relatório divulgado por analistas de segurança.

A ameaça está sendo distribuída por meio de servidores Discord e é usada como um malware de estágio inicial responsável pela implantação de cargas úteis ameaçadoras - RATs (Trojans de Acesso Remoto), infostealers ou ameaças de ransomware, tais como o LockBit. Certos elementos encontrados na análise sugerem que os criadores do Crypter Babadeda sejam indivíduos de língua russa

Vetor do Ataque Inicial

O agente da ameaça se infiltra nos servidores Discord legítimos, tais como o do jogo de PC Mines of Dalarna, conforme mencionado no relatório do Morphisec Labs, e começa a disseminar mensagens privadas de phishing para outros usuários. Em algumas das mensagens de isca observadas, os hackers fingem que o link que fornecem permitirá que o usuário-alvo acesse recursos ou benefícios adicionais.No entanto, os links corrompidos levam a um site engodo dedicado.

Os invasores fazem um grande esforço para tornar seus sites falsos o mais semelhantes possível aos originais. Eles se certificam de que os nomes de domínio do site falso se assemelham ao legítimo, com apenas uma letra. Os domínios são assinados com um certificado para habilitar a conexão HTTPS. Em seguida, o design gráfico da página é criado para imitar o original. Além disso, eles usam redirecionamentos para esconder o fato de que clicar no botão 'Baixar APP' leva a um destino suspeito.ExtensivasExtensivasExtensivas Técnicas de Evasão

Extensivas Técnicas de Evasão

Os hackers certificaram-se de que o Crypter Babadeda estivesse equipado com várias técnicas de evasão de detecção. Como resultado, a ameaça pode facilmente contornar qualquer solução de segurança baseada em assinatura. Em vários estágios, o código corrompido da ameaça é intercalado com o código de aplicativos legítimos para mascarar suas intenções nefastas.

Até mesmo os arquivos da ameaça estão espalhados entre arquivos de aparência legítima. Primeiro, o Babadeda Crypter copia seus arquivos compactados para uma pasta recém-gerada que recebe um nome que parece legítimo. A pasta será colocada em um dos seguintes locais:

C: UsersAppDataRoaming

C: UsersAppDataLocal

Vários outros arquivos obtidos de aplicativos de código-fonte aberto ou gratuitos serão colocados na mesma pasta. Sem perder tempo inspecionando a pasta em detalhes, muitos usuários podem pensar erroneamente que ela pertence a um aplicativo seguro.

Certas variantes do Crypter Babadeda também empregam uma mensagem de erro de engodo que é exibida ao usuário na execução da ameaça. Essa mensagem falsa pode atuar como uma técnica de evasão ou simplesmente servir como uma distração, escondendo as atividades prejudiciais da ameaça que ocorre no fundo do sistema.

O Babadeda é um codificador extremamente ameaçador que pode entregar potentes cargas inseguras aos sistemas da vítima. Ele se disfarça como um aplicativo legítimo e usa várias camadas de obscurecimento complexo para evitar a detecção. Os usuários devem estar sempre em guarda e devem abordar qualquer mensagem de ofertas que pareçam suspeitas de fontes com cautela.