Μια νέα καμπάνια malware στο Discord χρησιμοποιεί τον crypter Babadeda για να κρύψει malware που στοχεύει τις κοινότητες crypto, NFT και DeFi.
Δείτε επίσης: Cryptocurrency: Πρέπει να περιοριστεί η εξόρυξη Bitcoin στην Ευρώπη;
Το Babadeda είναι ένας crypter που χρησιμοποιείται για το encrypt και το obfuscate κακόβουλων payloads σε κάτι που φαίνεται να είναι αβλαβή προγράμματα εγκατάστασης εφαρμογών ή προγράμματα.
Ξεκινώντας από τον Μάιο του 2021, οι απειλητικοί φορείς διανέμουν trojan απομακρυσμένης πρόσβασης που έχουν γίνει obfuscate από το Babadeda ως νόμιμη εφαρμογή σε κανάλια Discord με θέμα τα crypto.
Λόγω του πολύπλοκου obfuscation του, έχει πολύ χαμηλό ποσοστό ανίχνευσης AV και σύμφωνα με ερευνητές της Morphisec, τα ποσοστά μόλυνσης αυξάνονται ταχύτερα.
Phishing στο Discord
Η αλυσίδα παράδοσης ξεκινά στα δημόσια κανάλια Discord που απολαμβάνουν μεγάλο viewership που εστιάζεται στο crypto, όπως νέα NFT drops ή συζητήσεις για cryptocurrency.
Οι απειλητικοί φορείς δημοσιεύουν σε αυτά τα κανάλια ή στέλνουν προσωπικά μηνύματα σε υποψήφια θύματα, προσκαλώντας τα να κατεβάσουν ένα παιχνίδι ή μια εφαρμογή.
Δείτε επίσης: Dogecoin: Το cryptocurrency με τα πιο πολλά searches στην Google (ΗΠΑ)
Σε ορισμένες περιπτώσεις, οι χάκερ υποδύονται υπάρχοντα έργα blockchain software, όπως το παιχνίδι “Mines of Dalarna”.
Εάν ο χρήστης ξεγελαστεί και κάνει κλικ στην παρεχόμενη διεύθυνση URL, θα καταλήξει σε ένα decoy site που χρησιμοποιεί ένα domain και το κάνει να φαίνεται ως πραγματικό.
Αυτά τα domains χρησιμοποιούν ένα έγκυρο πιστοποιητικό LetsEncrypt και υποστηρίζουν σύνδεση HTTPS, γεγονός που καθιστά ακόμη πιο δύσκολο για τους απρόσεκτους χρήστες να εντοπίσουν την απάτη.
Άλλα decoy sites που χρησιμοποιούνται σε αυτήν την καμπάνια παρατίθενται παρακάτω:
Η λήψη του malware γίνεται κάνοντας κλικ στα κουμπιά “Play Now” ή “Download app” στα παραπάνω sites και κρύβεται με τη μορφή αρχείων DLL και EXE μέσα σε ένα αρχείο που εμφανίζεται όπως οποιοσδήποτε συνηθισμένος φάκελος εφαρμογών.
Εάν ο χρήστης επιχειρήσει να εκτελέσει τον installer, θα λάβει ένα ψεύτικο μήνυμα σφάλματος για να εξαπατήσει το θύμα ότι δεν συνέβη τίποτα.
Δείτε επίσης: Οι πωλήσεις των crypto mining chip της Nvidia έπεσαν απότομα
Στο παρασκήνιο, ωστόσο, η εκτέλεση του malware συνεχίζεται, διαβάζοντας τα βήματα από ένα αρχείο XML για την εκτέλεση νέων threads και τη φόρτωση του DLL που θα εφαρμόσει το persistence.
Αυτό το persistence πραγματοποιείται μέσω ενός νέου στοιχείου startup folder και της εγγραφής ενός νέου registry Run key, και τα δύο ξεκινούν το κύριο εκτελέσιμο αρχείο του crypter.
Το Babadeda έχει χρησιμοποιηθεί σε προηγούμενες καμπάνιες malware που διανέμουν info-stealers, RATs, ακόμη και το LockBit ransomware.
Πηγή πληροφοριών: bleepingcomputer.com
