Babadeda Crypter

加密貨幣市場的估值已飆升至超過 2.5 萬億美元。然而，成功帶來的後果是成為網絡犯罪分子的主要目標，這些犯罪分子正在創建惡意軟件威脅以利用加密貨幣、NFT（不可替代的代幣）和 DeFi（去中心化金融）社區具體來說。安全分析師發布的一份報告分析了一種名為 Babadeda Crypter 的此類威脅。

該威脅通過 Discord 服務器進行分發，並用作負責部署威脅有效載荷的初始階段惡意軟件 - RAT（遠程訪問木馬）、信息竊取程序或勒索軟件威脅，例如LockBit 。分析中發現的某些元素表明 Babadeda Crypter 的創建者是講俄語的人

初始攻擊向量

威脅行為者滲透到合法的 Discord 服務器，例如 Morphisec Labs 報告中提到的用於 PC 遊戲 Mines of Dalarna 的服務器，並開始向其他用戶傳播網絡釣魚私人消息。在一些觀察到的誘餌消息中，黑客假裝他們提供的鏈接將允許目標用戶訪問其他功能或好處。但是，損壞的鏈接會指向專用的誘餌站點。

攻擊者竭盡全力使他們的虛假網站盡可能與原始網站相似。他們確保假冒網站的域名與合法網站的域名相似，只是一個字母。這些域使用證書籤名以啟用 HTTPS 連接。然後，創建頁面的圖形設計以模仿原始頁面。此外，他們使用重定向來隱藏單擊"下載應用程序"按鈕會導致可疑目的地的事實。

廣泛的規避技術

黑客確保 Babadeda Crypter 配備了多種檢測規避技術。因此，威脅可以輕鬆繞過任何基於簽名的安全解決方案。在多個階段，威脅的損壞代碼散佈在合法應用程序的代碼中，以掩蓋其惡意意圖。

甚至威脅文件也分散在看起來合法的文件中。首先，Babadeda Crypter 將其壓縮文件複製到一個新生成的文件夾中，該文件夾具有合法的名稱。該文件夾將放置在以下位置之一：

C:UsersAppDataRoaming

C:UsersAppDataLocal

從開源或免費應用程序中提取的許多其他文件將被放置在同一文件夾中。如果不花時間詳細檢查文件夾，許多用戶可能會錯誤地認為它屬於安全應用程序。

Babadeda Crypter 的某些變體還使用誘餌錯誤消息，在威脅執行時向用戶顯示該消息。此虛假消息可能用作規避技術，也可能只是分散注意力，將發生在系統後台的威脅的有害活動隱藏起來。

Babadeda 是一種極具威脅性的加密器，可以向受害者的系統發送有效的不安全有效載荷。它偽裝成一個合法的應用程序，並使用多層複雜的混淆來避免檢測。用戶必須始終保持警惕，並應謹慎處理來自可疑來源的任何消息。