Babadeda Crypter

Le marché des crypto-monnaies a explosé pour atteindre une valorisation de plus de 2,5 billions de dollars. Cependant, le succès a pour conséquence de devenir une cible de choix pour les cybercriminels qui créent des menaces de logiciels malveillants conçues pour exploiter les communautés Crypto, NFT (jetons non fongibles) et DeFi (finance décentralisée).Plus précisément. Une de ces menaces nommée Babadeda Crypter a été analysée dans un rapport publié par des analystes de la sécurité.

La menace est distribuée via les serveurs Discord et est utilisée comme un logiciel malveillant de stade initial responsable du déploiement de charges utiles menaçantes - RAT (chevaux de Troie d'accès à distance), infostealers ou menaces de ransomware telles que LockBit. Certains éléments trouvés dans l'analyse indiquent que les créateurs du crypteur Babadeda sont des individus russophones.

Vecteur d'attaque initiale

L'acteur de la menace infiltre les serveurs Discord légitimes, tels que celui du jeu PC Mines of Dalarna, comme mentionné dans le rapport Morphisec Labs, et commence à diffuser des messages privés de phishing à d'autres utilisateurs. Dans certains des messages leurres observés, les pirates prétendent que le lien qu'ils fournissent permettra à l'utilisateur ciblé d'accéder à des fonctionnalités ou des avantages supplémentaires.Cependant, les liens corrompus mènent à un site leurre dédié.

Les attaquants ont fait de gros efforts pour rendre leurs faux sites aussi similaires que possible aux originaux. Ils s'assurent que les noms de domaine du faux site ressemblent au nom légitime avec juste une lettre. Les domaines sont signés avec un certificat pour activer la connexion HTTPS. Ensuite, la conception graphique de la page est créée pour imiter celle d'origine. De plus, ils utilisent des redirections pour masquer le fait que cliquer sur le bouton « Télécharger l'application » mène à une destination suspecte.

Techniques d'évasion approfondies

Les pirates ont veillé à ce que le crypteur Babadeda soit équipé de nombreuses techniques de détection-évasion. En conséquence, la menace peut facilement contourner toutes les solutions de sécurité basées sur les signatures. Sur plusieurs étapes, le code corrompu de la menace est intercalé parmi le code d'applications légitimes pour masquer ses intentions néfastes.

Même les fichiers de la menace sont dispersés parmi des fichiers d'apparence légitime. Tout d'abord, Babadeda Crypter copie ses fichiers compressés dans un dossier nouvellement généré qui reçoit un nom à consonance légitime. Le dossier sera placé dans l'un des emplacements suivants :

C:UsersAppDataRoaming

C:UsersAppDataLocal

De nombreux autres fichiers provenant d'applications open source ou gratuites seront déposés dans le même dossier. Sans prendre le temps d'inspecter le dossier en détail, de nombreux utilisateurs peuvent penser à tort qu'il appartient à une application sûre.

Certaines variantes de Babadeda Crypter utilisent également un message d'erreur leurre qui s'affiche à l'utilisateur lors de l'exécution de la menace. Ce faux message peut agir comme une technique d'évasion ou il peut simplement servir de distraction cachant les activités nuisibles de la menace se déroulant en arrière-plan du système.

Babadeda est un crypteur extrêmement menaçant qui peut fournir de puissantes charges utiles dangereuses aux systèmes de la victime. Il se fait passer pour une application légitime et utilise plusieurs couches d'obscurcissement complexe pour éviter la détection. Les utilisateurs doivent toujours être sur leurs gardes et doivent aborder avec prudence tout message provenant d'offres à consonance suspecte provenant de sources.