Babadeda Crypter
Der Kryptowährungsmarkt ist auf eine Bewertung von mehr als 2,5 Billionen US-Dollar explodiert. Der Erfolg geht jedoch mit der Konsequenz einher, ein Hauptziel für Cyberkriminelle zu werden, die Malware-Bedrohungen erstellen, die speziell auf die Ausbeutung der Crypto-, NFT- (nicht fungible Token) und DeFi-Community (dezentralisierte Finanzen) zugeschnitten sind. Eine solche Bedrohung namens Babadeda Crypter wurde in einem von Sicherheitsanalysten veröffentlichten Bericht analysiert.
Die Bedrohung wird über Discord-Server verbreitet und als Malware im Anfangsstadium verwendet, die für die Bereitstellung bedrohlicher Nutzlasten verantwortlich sind – RATs (Remote Access Trojans), Infostealer oder Ransomware-Bedrohungen wie LockBit. Bestimmte Elemente, die in der Analyse gefunden wurden, deuten darauf hin, dass die Schöpfer des Babadeda Crypter russischsprachige Personen sind.
Erster Angriffsvektor
Der Bedrohungsakteur infiltriert legitime Discord-Server, wie den im Bericht von Morphisec Labs erwähnten für das PC-Spiel Mines of Dalarna, und beginnt, private Phishing-Nachrichten an andere Benutzer zu verbreiten. In einigen der beobachteten Lock-Nachrichten tun die Hacker so, als ob der von ihnen bereitgestellte Link dem Zielbenutzer den Zugriff auf zusätzliche Funktionen oder Vorteile ermöglicht. Die beschädigten Links führen jedoch zu einer dedizierten Köder-Site.
Die Angreifer bemühen sich sehr, ihre gefälschten Seiten den Originalen so ähnlich wie möglich zu machen. Sie stellen sicher, dass die Domain-Namen der gefälschten Site mit nur einem Buchstaben den legitimen ähneln. Die Domänen werden mit einem Zertifikat signiert, um eine HTTPS-Verbindung zu ermöglichen. Dann wird das grafische Design der Seite erstellt, um das Original nachzuahmen. Darüber hinaus verwenden sie Weiterleitungen, um die Tatsache zu verbergen, dass das Klicken auf die Schaltfläche "App herunterladen" zu einem verdächtigen Ziel führt.
Umfangreiche Ausweichtechniken
Die Hacker haben dafür gesorgt, dass der Babadeda Crypter mit zahlreichen Erkennungs-Umgehungstechniken ausgestattet ist. Infolgedessen kann die Bedrohung leicht alle signaturbasierten Sicherheitslösungen umgehen. Auf mehreren Stufen wird der beschädigte Code der Bedrohung mit dem Code legitimer Anwendungen vermischt, um ihre schändlichen Absichten zu verschleiern.
Sogar die Dateien der Bedrohung sind unter legitim aussehenden Dateien verstreut. Zuerst kopiert der Babadeda Crypter seine komprimierten Dateien in einen neu erstellten Ordner, der einen legitim klingenden Namen erhält. Der Ordner wird an einem der folgenden Orte abgelegt:
C:UsersAppDataRoaming
C:UsersAppDataLocal
Zahlreiche andere Dateien aus Open-Source- oder kostenlosen Anwendungen werden im selben Ordner abgelegt. Ohne sich die Zeit zu nehmen, den Ordner im Detail zu untersuchen, denken viele Benutzer fälschlicherweise, dass es sich um eine sichere Anwendung handelt.
Bestimmte Varianten von Babadeda Crypter verwenden auch eine Lockvogel-Fehlermeldung, die dem Benutzer bei der Ausführung der Bedrohung angezeigt wird. Diese gefälschte Nachricht kann als Umgehungstechnik dienen oder einfach als Ablenkung dienen, um die schädlichen Aktivitäten der Bedrohung im Hintergrund des Systems zu verbergen.
Babadeda ist ein extrem bedrohlicher Verschlüsseler, der den Systemen des Opfers starke unsichere Nutzlasten liefern kann. Es tarnt sich als legitime Anwendung und verwendet mehrere Ebenen komplexer Verschleierung, um eine Erkennung zu vermeiden. Benutzer müssen immer auf der Hut sein und sollten jede Nachricht von verdächtig klingenden Angeboten mit Vorsicht angehen.
