Бабадеда Склеп
Рынок криптовалют вырос до более чем 2,5 триллиона долларов. Однако успех связан с тем, что становится главной целью киберпреступников, создающих вредоносные программы, специально предназначенные для использования сообществ Crypto, NFT (невзаимозаменяемые токены) и DeFi (децентрализованные финансы).конкретно. Одна из таких угроз под названием Babadeda Crypter была проанализирована в отчете, опубликованном аналитиками безопасности.
Угроза распространяется через серверы Discord и используется в качестве вредоносного ПО начальной стадии, отвечающего за развертывание угрожающих полезных нагрузок - RAT (троянских программ удаленного доступа), инфостилеров или программ-вымогателей, таких как LockBit . Некоторые элементы, обнаруженные в анализе, указывают на то, что создатели склепов Babadeda являются русскоязычными людьми.
Начальный вектор атаки
Злоумышленник проникает на законные серверы Discord, такие как сервер компьютерной игры Mines of Dalarna, упомянутый в отчете Morphisec Labs, и начинает рассылать фишинговые личные сообщения другим пользователям. В некоторых из наблюдаемых сообщений-приманок хакеры делают вид, что предоставленная ими ссылка позволит целевому пользователю получить доступ к дополнительным функциям или преимуществам.Однако поврежденные ссылки ведут на специальный сайт-приманку.
Злоумышленники приложили немало усилий, чтобы сделать свои поддельные сайты максимально похожими на оригинальные. Они следят за тем, чтобы доменные имена фальшивого сайта были похожи на легитимные, за исключением букв. Домены подписаны сертификатом для включения HTTPS-соединения. Затем создается графический дизайн страницы, имитирующий исходный. Кроме того, они используют перенаправления, чтобы скрыть тот факт, что нажатие кнопки «Загрузить приложение» ведет к подозрительному месту назначения.
Обширные техники уклонения
Хакеры позаботились о том, чтобы шифровальщик Babadeda был оснащен многочисленными приемами обнаружения-уклонения. В результате угроза может легко обойти любые решения безопасности на основе сигнатур. На нескольких этапах поврежденный код угрозы перемежается с кодом законных приложений, чтобы замаскировать свои гнусные намерения.
Даже файлы угрозы разбросаны по файлам, которые выглядят вполне законно. Во-первых, Babadeda Crypter копирует свои сжатые файлы во вновь созданную папку, которой присвоено легитимно звучащее имя. Папка будет размещена в одном из следующих мест:
C: UsersAppDataRoaming
C: UsersAppDataLocal
Многие другие файлы, взятые из приложений с открытым исходным кодом или бесплатных приложений, будут помещены в ту же папку. Не тратя время на подробный осмотр папки, многие пользователи могут ошибочно подумать, что она принадлежит безопасному приложению.
Некоторые варианты Babadeda Crypter также используют ложное сообщение об ошибке, которое отображается пользователю при выполнении угрозы. Это фальшивое сообщение может действовать как метод уклонения или просто отвлекать внимание, скрывая вредоносные действия угрозы, происходящие на заднем плане системы.
Babadeda - чрезвычайно опасный шифровальщик, который может доставить опасные данные в системы жертвы. Он маскируется под законное приложение и использует несколько уровней сложной обфускации, чтобы избежать обнаружения. Пользователи всегда должны быть начеку и должны с осторожностью подходить к любому сообщению о подозрительно звучащих предложениях из источников.
