Babadeda Crypter
Kripto para piyasası 2,5 trilyon dolardan fazla bir değerlemeye patladı. Bununla birlikte başarı, Crypto, NFT (karşılaştırılamaz tokenler) ve DeFi (merkezi olmayan finans) topluluklarından yararlanmak için özel olarak tasarlanmış kötü amaçlı yazılım tehditleri oluşturan siber suçlular için ana hedef haline gelmenin sonuçlarıyla birlikte gelir.özellikle. Babadeda Crypter adlı böyle bir tehdit, güvenlik analistleri tarafından yayınlanan bir raporda analiz edildi.
Tehdit, Discord sunucuları aracılığıyla dağıtılıyor ve tehdit edici yükleri (RAT'ler (Uzaktan Erişim Truva Atları), bilgi hırsızları veya LockBit gibi fidye yazılımı tehditleri) dağıtmaktan sorumlu ilk aşamada bir kötü amaçlı yazılım olarak kullanılıyor. Analizde bulunan bazı unsurlar, Babadeda Crypter'ın yaratıcılarının Rusça konuşan kişiler olduğuna işaret ediyor.
İlk Saldırı Vektörü
Tehdit aktörü, Morphisec Labs raporunda belirtildiği gibi PC oyunu Mines of Dalarna için olan sunucu gibi meşru Discord sunucularına sızar ve diğer kullanıcılara kimlik avı özel mesajlarını yaymaya başlar. Gözlenen bazı cazibe mesajlarında, bilgisayar korsanları, sağladıkları bağlantı, hedeflenen kullanıcının ek özelliklere veya avantajlara erişmesine izin verecekmiş gibi davranır.Ancak, bozuk bağlantılar özel bir tuzak siteye götürür.
Saldırganlar, sahte sitelerini mümkün olduğunca orijinallerine benzer hale getirmek için büyük çaba sarf ediyor. Sahte sitenin alan adlarının yasal olana benzemesini sadece bir harf kapalı ile sağlarlar. Etki alanları, HTTPS bağlantısını etkinleştirmek için bir sertifika ile imzalanmıştır. Ardından sayfanın grafik tasarımı orijinali taklit edecek şekilde oluşturulur. Ayrıca, 'Uygulamayı İndir' düğmesinin tıklanmasının şüpheli bir hedefe yol açtığı gerçeğini gizlemek için yönlendirmeleri kullanırlar.
Kapsamlı Kaçınma Teknikleri
Bilgisayar korsanları, Babadeda Crypter'ın çok sayıda tespit-kaçınma tekniği ile donatıldığından emin oldular. Sonuç olarak tehdit, imza tabanlı güvenlik çözümlerini kolayca atlayabilir. Birden fazla aşamada, tehdidin bozuk kodu, kötü niyetlerini maskelemek için meşru uygulamaların kodları arasına serpiştirilir.
Tehdit dosyaları bile meşru görünen dosyalar arasında dağılmış durumda. İlk olarak, Babadeda Crypter, sıkıştırılmış dosyalarını, kulağa meşru gelen bir ad verilen yeni oluşturulmuş bir klasöre kopyalar. Klasör aşağıdaki konumlardan birine yerleştirilecektir:
C:UsersAppDataRoaming
C:KullanıcılarUygulamaVerileriYerel
Açık kaynaklı veya ücretsiz uygulamalardan alınan çok sayıda başka dosya aynı klasöre atılacaktır. Klasörü ayrıntılı olarak incelemeye zaman ayırmadan, birçok kullanıcı yanlışlıkla bunun güvenli bir uygulamaya ait olduğunu düşünebilir.
Babadeda Crypter'ın belirli türevleri, tehdidin yürütülmesi üzerine kullanıcıya görüntülenen bir tuzak hata mesajı da kullanır. Bu sahte mesaj, bir kaçınma tekniği olarak hareket edebilir veya sistemin arka planında yer alan tehdidin zararlı faaliyetlerini gizleyen bir oyalama görevi görebilir.
Babadeda, kurbanın sistemlerine güvenli olmayan güçlü yükler gönderebilen son derece tehditkar bir şifreleyicidir. Meşru bir uygulama gibi görünür ve algılanmayı önlemek için birden çok karmaşık gizleme katmanı kullanır. Kullanıcılar her zaman tetikte olmalı ve kaynaklardan gelen şüpheli gelen tekliflerden gelen mesajlara dikkatle yaklaşmalıdır.
