Кампания по вредоносному ПО Discord нацелена на сообщества криптовалюты и NFT

5
Кампания по вредоносному ПО Discord нацелена на сообщества криптовалюты и NFT

Новая вредоносная кампания на Discord использует шифровальщик Babadeda для сокрытия вредоносных программ, нацеленных на сообщества криптовалют, NFT и DeFi.

Babadeda — это шифровальщик, используемый для шифрования и сокрытия вредоносных данных в безобидных установщиках приложений или программах.

Начиная с мая 2021 года злоумышленники распространяют трояны удаленного доступа, запутанные Бабадедой как законное приложение, по каналам Discord, посвященным криптовалюте.

Из-за сложной обфускации он имеет очень низкий уровень обнаружения AV, и, по мнению исследователей из Morphisec, уровень его заражения растет.

Фишинг на Discord

Цепочка доставки начинается на общедоступных каналах Discord, пользующихся большой аудиторией со стороны аудитории, ориентированной на криптовалюту, например, на новых выпусках NFT или обсуждениях криптовалюты.

Злоумышленники публикуют сообщения на этих каналах или отправляют личные сообщения потенциальным жертвам, предлагая им загрузить игру или приложение.

В некоторых случаях участники олицетворяют существующие программные проекты блокчейнов, такие как игра «Шахты Даларны».

Если обмануть пользователя и щелкнуть указанный URL-адрес, он попадет на сайт-обманщик, использующий киберсквоттированный домен, который легко принять за настоящий.

Эти домены используют действительный сертификат LetsEncrypt и поддерживают соединение HTTPS, что еще больше затрудняет обнаружение мошенничества неосторожными пользователями.

Обман Бабадеды

Вредоносная программа загружается при нажатии кнопок «Играть сейчас» или «Загрузить приложение» на указанных выше сайтах, скрываясь в виде файлов DLL и EXE внутри архива, который на первый взгляд выглядит как обычная папка приложения.

Если пользователь попытается запустить установщик, он получит фальшивое сообщение об ошибке, чтобы обмануть жертву, заставив ее думать, что ничего не произошло.

Однако в фоновом режиме выполнение вредоносного ПО продолжается, считывая шаги из XML-файла для выполнения новых потоков и загрузки библиотеки DLL, которая реализует постоянство.

Это постоянство достигается с помощью нового элемента папки автозагрузки и записи нового ключа Run в реестре, которые запускают основной исполняемый файл crypter.

«Характеристики исполняемого раздела .text настроены на RWE (чтение-запись-выполнение) — таким образом актору не нужно использовать VirtualAlloc или VirtualProtect для копирования шелл-кода и передачи выполнения». — Морфисек

«Это помогает избежать обхода, поскольку эти функции тщательно контролируются решениями безопасности. После того, как шелл-код копируется в исполняемый файл, DLL вызывает точку входа шелл-кода (shellcode_address)».

Babadeda использовалась в прошлых кампаниях по распространению вредоносных программ, распространяющих информационные кражи, RAT и даже вымогателей LockBit, но в этой конкретной кампании Morphisec наблюдала падение Remcos и BitRAT.

Remcos — это широко используемое программное обеспечение для удаленного наблюдения, которое позволяет злоумышленникам взять под контроль зараженную машину и украсть учетные данные , файлы cookie браузера, сбросить больше полезных данных и т. Д.

В этом случае, поскольку кампания нацелена на членов криптосообщества, предполагается, что они следят за своими кошельками, средствами в криптовалюте и активами NFT.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here