Babadeda Crypter

暗号通貨市場は2.5兆ドル以上の評価に爆発しました。ただし、成功には、Crypto、NFT（非代替トークン）、およびDeFi（分散型ファイナンス）コミュニティを悪用するように調整されたマルウェアの脅威を作成しているサイバー犯罪者の主要なターゲットになるという結果が伴います。具体的には。 Babadeda Crypterという名前のそのような脅威の1つは、セキュリティアナリストが発表したレポートで分析されました。

脅威はDiscordサーバーを介して配布されており、脅威となるペイロード（RAT（リモートアクセストロイの木馬）、インフォスティーラー、またはLockBitなどのランサムウェアの脅威）の展開を担当する初期段階のマルウェアとして使用されます。分析で見つかった特定の要素は、ババデダクリプターの作成者がロシア語を話す個人であることを示しています

初期攻撃ベクトル

攻撃者は、MorphisecLabsのレポートに記載されているPCゲームのMinesof Dalarnaなどの正当なDiscordサーバーに侵入し、フィッシングプライベートメッセージを他のユーザーに配布し始めます。観察されたルアーメッセージの一部では、ハッカーは、提供するリンクによって、標的となるユーザーが追加の機能や利点にアクセスできるように見せかけます。ただし、破損したリンクは専用のおとりサイトにつながります。

攻撃者は、偽のサイトを可能な限り元のサイトに類似させるために多大な努力を払います。彼らは、偽のサイトのドメイン名が、文字がオフになっているだけの正当なサイトに似ていることを確認します。ドメインは、HTTPS接続を有効にするための証明書で署名されています。次に、元のページを模倣するようにページのグラフィックデザインが作成されます。さらに、リダイレクトを使用して、[アプリのダウンロード]ボタンをクリックすると疑わしい宛先につながるという事実を隠します。

広範な回避テクニック

ハッカーは、ババデダクリプターに多数の検出回避技術が装備されていることを確認しました。その結果、脅威はシグニチャベースのセキュリティソリューションを簡単に回避できます。複数の段階で、脅威の破損したコードが正当なアプリケーションのコードの間に散在し、その悪意を隠します。

脅威のファイルでさえ、正当に見えるファイルの間に散らばっています。まず、Babadeda Crypterは、圧縮ファイルを、正当な名前が付けられた新しく生成されたフォルダーにコピーします。フォルダは次のいずれかの場所に配置されます。

C：UsersAppDataRoaming

C：UsersAppDataLocal

オープンソースまたは無料のアプリケーションから取得した他の多くのファイルは、同じフォルダーにドロップされます。時間をかけてフォルダを詳細に調べることなく、多くのユーザーは、フォルダが安全なアプリケーションに属していると誤解する可能性があります。

Babadeda Crypterの特定の亜種は、脅威の実行時にユーザーに表示されるおとりエラーメッセージも使用します。この偽のメッセージは、回避手法として機能する場合もあれば、システムのバックグラウンドで発生する脅威の有害な活動を隠す気晴らしとして機能する場合もあります。

Babadedaは非常に脅威的な暗号化ツールであり、被害者のシステムに強力で危険なペイロードを配信する可能性があります。正当なアプリケーションになりすまし、検出を回避するために複雑な難読化の複数のレイヤーを使用します。ユーザーは常に警戒している必要があり、ソースからの疑わしいサウンドのオファーからのメッセージには注意してアプローチする必要があります。