Babadeda Crypter

El mercado de las criptomonedas se ha disparado a una valoración de más de 2,5 billones de dólares. Sin embargo, el éxito viene con las consecuencias de convertirse en un objetivo principal para los ciberdelincuentes que están creando amenazas de malware diseñadas para explotar las comunidades Crypto, NFT (tokens no fungibles) y DeFi (finanzas descentralizadas).específicamente. Una de esas amenazas llamada Babadeda Crypter fue analizada en un informe publicado por analistas de seguridad.

La amenaza se distribuye a través de servidores de Discord y se utiliza como un malware de etapa inicial responsable de implementar cargas útiles amenazantes: RAT (troyanos de acceso remoto), infostealers o amenazas de ransomware como LockBit. Ciertos elementos encontrados en el análisis apuntan a que los creadores del Babadeda Crypter son personas de habla rusa.

Vector de ataque inicial

El actor de amenazas se infiltra en servidores legítimos de Discord, como el del juego de PC Mines of Dalarna, como se menciona en el informe de Morphisec Labs, y comienza a difundir mensajes privados de phishing a otros usuarios. En algunos de los mensajes de señuelo observados, los piratas informáticos fingen que el enlace que proporcionan permitirá al usuario objetivo acceder a funciones o beneficios adicionales.Sin embargo, los enlaces corruptos conducen a un sitio señuelo dedicado.

Los atacantes hicieron un gran esfuerzo para hacer que sus sitios falsos se parecieran lo más posible a los originales. Se aseguran de que los nombres de dominio del sitio falso se parezcan al legítimo con solo una letra. Los dominios están firmados con un certificado para habilitar la conexión HTTPS. Luego, se crea el diseño gráfico de la página para imitar el original. Además, utilizan redireccionamientos para ocultar el hecho de que hacer clic en el botón 'Descargar APP' conduce a un destino sospechoso.

Técnicas extensivas de evasión

Los piratas informáticos se aseguraron de que Babadeda Crypter esté equipado con numerosas técnicas de detección y evasión. Como resultado, la amenaza puede eludir fácilmente cualquier solución de seguridad basada en firmas. En varias etapas, el código corrupto de la amenaza se intercala entre el código de las aplicaciones legítimas para enmascarar sus nefastas intenciones.

Incluso los archivos de la amenaza se encuentran dispersos entre archivos de apariencia legítima. Primero, Babadeda Crypter copia sus archivos comprimidos en una carpeta recién generada que recibe un nombre que suena legítimo. La carpeta se colocará en una de las siguientes ubicaciones:

C: UsersAppDataRoaming

C: UsersAppDataLocal

Muchos otros archivos tomados de aplicaciones gratuitas o de código abierto se colocarán en la misma carpeta. Sin tomarse el tiempo para inspeccionar la carpeta en detalle, muchos usuarios pueden pensar erróneamente que pertenece a una aplicación segura.

Ciertas variantes de Babadeda Crypter también emplean un mensaje de error de señuelo que se muestra al usuario cuando se ejecuta la amenaza. Este mensaje falso puede actuar como una técnica de evasión o simplemente puede servir como una distracción para ocultar las actividades dañinas de la amenaza que tienen lugar en el fondo del sistema.

Babadeda es un cifrador extremadamente amenazante que puede entregar potentes cargas útiles inseguras a los sistemas de la víctima. Se hace pasar por una aplicación legítima y utiliza múltiples capas de ofuscación compleja para evitar la detección. Los usuarios deben estar siempre en guardia y deben acercarse a cualquier mensaje de ofertas que parezcan sospechosas provenientes de fuentes con precaución.