Discord’daki yeni bir kötü amaçlı yazılım kampanyası, kripto, NFT ve DeFi topluluklarını hedefleyen kötü amaçlı yazılımları gizlemek için Babadeda şifresini kullanır.
Babadeda, zararsız uygulama yükleyicileri veya programları gibi görünen kötü amaçlı yükleri şifrelemek ve karartmak için kullanılan bir şifreleyicidir.
Mayıs 2021’den itibaren, tehdit aktörleri Babadeda tarafından karartılmış uzaktan erişim truva atlarını kripto temalı Discord kanallarında meşru bir uygulama olarak dağıtıyor.
Karmaşık karartması nedeniyle, çok düşük bir AV algılama oranına sahiptir ve araştırmacılara göre Morphisec, enfeksiyon oranları hız kazanıyor.
Discord’da Kimlik Avı
Teslimat zinciri, yeni NFT düşüşleri veya kripto para birimi tartışmaları gibi kripto odaklı bir kitleden büyük bir izleyici kitlesinin keyfini çıkaran halka açık Discord kanallarında başlar.
Tehdit aktörleri bu kanallarda yayınlar veya potansiyel kurbanlara özel mesajlar göndererek onları bir oyun veya uygulama indirmeye davet eder.
Bazı durumlarda, aktörler “Mines of Dalarna” oyunu gibi mevcut blockchain yazılım projelerini taklit eder.

Kaynak: Morphisec
Kullanıcı kandırılır ve sağlanan URL’ye tıklarsa, gerçek olarak geçmesi kolay bir siber erişim alanı kullanan bir yem sitesinde sona erer.
Bu etki alanları geçerli bir LetsEncrypt sertifikası kullanır ve bir HTTPS bağlantısını destekleyerek dikkatsiz kullanıcıların dolandırıcılığı tespit etmesini daha da zorlaştırır.

Kaynak: Morphisec
Bu kampanyada kullanılan diğer yem siteleri aşağıda listelenmiştir:

Kaynak: Morphisec
Babadeda aldatmacası
Kötü amaçlı yazılım, yukarıdaki sitelerdeki “Şimdi Oynat” veya “Uygulamayı indir” düğmelerine tıkladıktan sonra indirilir ve ilk bakışta sıradan bir uygulama klasörü gibi görünen bir arşivde DLL’ler ve EXE dosyaları şeklinde gizlenir.
Kullanıcı yükleyiciyi yürütmeye çalışırsa, kurbanı hiçbir şey olmadığını düşünmesi için kandırmak için sahte bir hata mesajı alır.
Yine de, arka planda, kötü amaçlı yazılımın yürütülmesi devam eder, yeni iş parçacıkları yürütmek ve kalıcılık uygulayacak DLL’yi yüklemek için bir XML dosyasından adımları okur.
Bu kalıcılık, her ikisi de crypter’ın birincil yürütülebilir dosyasını başlatan yeni bir başlangıç klasörü öğesi ve yeni bir kayıt defteri Çalıştırma anahtarının yazılması yoluyla yapılır.

Kaynak: Morphisec
“Yürütülebilir .text bölümünün özellikleri RWE (Okuma-Yazma-Yürütme) olarak yapılandırılır – bu şekilde aktörün kabuk kodunu kopyalamak ve yürütmeyi aktarmak için VirtualAlloc veya VirtualProtect kullanması gerekmez.” – Morphisec
“Bu, bu işlevler güvenlik çözümleri tarafından yüksek oranda izlendiği için kaçınmaya yardımcı olur. Kabuk kodu yürütülebilir dosyaya kopyalandığında, DLL kabuk kodunun giriş noktasına (shellcode_address) çağırır.”
Babadeda, bilgi hırsızları, RAT’lar ve hatta LockBit fidye yazılımı dağıtan geçmiş kötü amaçlı yazılım kampanyalarında kullanılmıştır, ancak bu özel kampanyada Morphisec, Remcos ve BitRAT’ın düştüğünü gözlemlemiştir.
Remcos bir yaygın olarak kötüye kullanılan saldırganların kontrolü ele almak enfekte makinenin ve hesap kimlik bilgilerini çalma, tarayıcı çerezleri, daha fazla yük bırakın, vb.
Bu durumda, kampanya kripto topluluğunun üyelerini hedef aldığı için, cüzdanlarının, kripto para fonlarının ve NFT varlıklarının peşinde oldukları varsayılıyor.