Babadeda Crypter

加密货币市场的估值已飙升至超过 2.5 万亿美元。然而，成功带来的后果是成为网络犯罪分子的主要目标，这些犯罪分子正在创建恶意软件威胁以利用加密货币、NFT（不可替代的代币）和 DeFi（去中心化金融）社区具体来说。安全分析师发布的一份报告分析了一种名为 Babadeda Crypter 的此类威胁。

该威胁通过 Discord 服务器进行分发，并用作负责部署威胁有效载荷的初始阶段恶意软件 - RAT（远程访问木马）、信息窃取程序或勒索软件威胁，例如LockBit 。分析中发现的某些元素表明 Babadeda Crypter 的创建者是讲俄语的人

初始攻击向量

攻击者渗透到合法的 Discord 服务器，例如 Morphisec Labs 报告中提到的用于 PC 游戏 Mines of Dalarna 的服务器，并开始向其他用户传播网络钓鱼私人消息。在一些观察到的诱饵消息中，黑客假装他们提供的链接将允许目标用户访问其他功能或好处。但是，损坏的链接会指向专用的诱饵站点。

攻击者竭尽全力使他们的虚假网站尽可能与原始网站相似。他们确保假冒网站的域名与合法网站的域名相似，只是一个字母。这些域使用证书签名以启用 HTTPS 连接。然后，创建页面的图形设计以模仿原始页面。此外，他们使用重定向来隐藏单击"下载应用程序"按钮会导致可疑目的地的事实。

广泛的规避技术

黑客确保 Babadeda Crypter 配备了多种检测规避技术。因此，威胁可以轻松绕过任何基于签名的安全解决方案。在多个阶段，威胁的损坏代码散布在合法应用程序的代码中，以掩盖其恶意意图。

甚至威胁文件也分散在看起来合法的文件中。首先，Babadeda Crypter 将其压缩文件复制到一个新生成的文件夹中，该文件夹具有合法的名称。该文件夹将放置在以下位置之一：

C:UsersAppDataRoaming

C:UsersAppDataLocal

从开源或免费应用程序中提取的许多其他文件将被放置在同一文件夹中。如果不花时间详细检查文件夹，许多用户可能会错误地认为它属于安全应用程序。

Babadeda Crypter 的某些变体还使用诱饵错误消息，在威胁执行时向用户显示该消息。此虚假消息可能用作规避技术，也可能只是分散注意力，隐藏在系统后台发生的威胁的有害活动。

Babadeda 是一种极具威胁性的加密器，可以向受害者的系统发送有效的不安全有效载荷。它伪装成一个合法的应用程序，并使用多层复杂的混淆来避免检测。用户必须始终保持警惕，并应谨慎处理来自可疑来源的任何消息。