Babadeda Crypter

Kryptovalutamarknaden har exploderat till en värdering på mer än 2,5 biljoner dollar. Framgången kommer dock med konsekvenserna av att bli ett främsta mål för cyberbrottslingar som skapar skadliga hot som är skräddarsydda för att utnyttja gemenskaperna Crypto, NFT (icke-fungibla tokens) och DeFi (decentraliserad finans)specifikt. Ett sådant hot vid namn Babadeda Crypter analyserades i en rapport som släpptes av säkerhetsanalytiker.

Hotet distribueras via Discord-servrar och används som skadlig programvara i inledningsskedet som ansvarar för att distribuera hotande nyttolaster - RAT (Remote Access Trojans), infostealers eller ransomware-hot som LockBit. Vissa element som hittades i analysen pekar mot att skaparna av Babadeda Crypter är rysktalande individer.

Initial attackvektor

Hotaktören infiltrerar legitima Discord-servrar, som den för PC-spelet Mines of Dalarna som nämns i Morphisec Labs rapport, och börjar sprida privata meddelanden om nätfiske till andra användare. I några av de observerade lockbetsmeddelandena låtsas hackarna som om länken de tillhandahåller kommer att tillåta den riktade användaren att få tillgång till ytterligare funktioner eller fördelar.De skadade länkarna leder dock till en dedikerad lockbetesida.

Angriparna ansträngde sig mycket för att göra sina falska sajter så lika originalen som möjligt. De ser till att domännamnen på den falska sajten liknar den legitima med bara ett brev. Domänerna är signerade med ett certifikat för att aktivera HTTPS-anslutning. Sedan skapas sidans grafiska design för att efterlikna den ursprungliga. Dessutom använder de omdirigeringar för att dölja det faktum att ett klick på knappen 'Ladda ner APP' leder till en misstänkt destination.

Omfattande undanflyktstekniker

Hackarna såg till att Babadeda Crypter är utrustad med många tekniker för upptäcktsflykt. Som ett resultat kan hotet enkelt kringgå alla signaturbaserade säkerhetslösningar. På flera stadier är den korrupta koden för hotet insprängd mellan koden för legitima applikationer för att maskera dess skändliga avsikter.

Även filerna för hotet är utspridda bland legitima filer. Först kopierar Babadeda Crypter sina komprimerade filer till en nygenererad mapp som får ett legitimt klingande namn. Mappen kommer att placeras på en av följande platser:

C:UsersAppDataRoaming

C:UsersAppDataLocal

Många andra filer tagna från öppen källkod eller gratisprogram kommer att släppas i samma mapp. Utan att ta sig tid att inspektera mappen i detalj kan många användare av misstag tro att den tillhör en säker applikation.

Vissa varianter av Babadeda Crypter använder också ett lockbetefelmeddelande som visas för användaren när hotet exekveras. Detta falska meddelande kan fungera som en undanflyktsteknik eller så kan det helt enkelt tjäna som en distraktion som döljer de skadliga aktiviteterna av hotet som äger rum i bakgrunden av systemet.

Babadeda är en extremt hotfull kryptering som kan leverera potenta osäkra nyttolaster till offrets system. Den maskerar sig som en legitim applikation och använder flera lager av komplex förvirring för att undvika upptäckt. Användare måste alltid vara på sin vakt och bör närma sig alla meddelanden från misstänkt klingande erbjudanden från källor med försiktighet.