【安全资讯】BABADEDA CRYPTER:针对加密货币社区的新型加密程序

安恒威胁情报中心 2021-11-24 14:53:06 162人浏览

引言

近日,研究人员观察到了一场针对加密货币爱好者的恶意软件活动,该活动部署名为Babadeda的加密程序。Babadeda恶意软件安装程序已被用于最近的多起恶意活动,以提供信息窃取程序、RAT 甚至 LockBit 勒索软件。

 

 

简况

此次恶意活动针对加密、NFT (不可替代令牌)和 DEFI 社区。目前的绝大多数 NFT 和加密社区都基于Discord群聊平台。Discord 频道可公开访问,并允许用户在频道内相互发送私聊消息。攻击者利用了这种功能进行钓鱼,先向用户发送一条私人消息,邀请他们下载相关应用程序。该应用程序可能会授予用户访问新功能的权限。由于攻击者在官方 discord 频道上创建了一个 Discord bot 帐户,因此很容易成功冒充discord频道的官方帐户。

 

 

“Mines of Dalarna”是一款基于区块链的 PC 游戏,以下是一个针对该游戏玩家的网络钓鱼消息示例:

 

如果用户点击钓鱼消息中的 URL,则会被定向到诱饵站点,诱导用户下载恶意安装程序。其中一个诱饵网站上包含一个用俄语编写的 HTML,这表明攻击者可能来自说俄语的国家。攻击者在此活动中使用的恶意软件包括Remcos和BitRAT。

 

 

研究人员在攻击活动中发现了同一个加密器的不同变体,这些变体的主要执行流程相同,如下图所示:

 

安装程序通过主可执行文件difserver.exe执行。一些变体会显示一条虚假的错误消息,以规避安全解决方案,或欺骗用户,让用户认为应用程序执行失败。

 

 

解密shellcode有三个主要步骤,首先提取 Loader shellcode 和有效载荷,然后对它们进行解密,最后将执行转移到解密后的 Loader shellcode。Loader shellcode 的目的是在当前运行的进程中注入解密的有效载荷。解密 shellcode 首先通过搜索六个或更多相同字节的序列来动态定位配置结构,识别XML文件里面的配置,并使用指定的密钥对其进行解密。解密的执行流程如下图:

 

 

总结

Babadeda是一种非常危险的恶意程序,通过受信任的攻击媒介针对加密货币用户。随着加密货币市场的快速发展,预计会出现更多Babadeda的受害者。

 

失陷指标(IOC)218
BABADEDA 数字货币
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。