Erkennung von Babadeda Crypter

[post-views]
Dezember 02, 2021 · 3 min zu lesen
Erkennung von Babadeda Crypter

Treffen Sie Babadeda, einen neuen berüchtigten Crypter im Arsenal von Bedrohungsakteuren. Die Malware wird seit Mai 2021 aktiv von Gegnern genutzt, um Sicherheitsvorkehrungen zu umgehen und heimlich eine Vielzahl von Bedrohungen an ahnungslose Opfer zu liefern. Mehrere Infostealer und Remote Access Trojans (RATs) wurden mit Hilfe von Babadeda eingesetzt. Darüber hinaus nutzten auch die LockBit-Betreiber es als zuverlässige Methode, um die Ransomware-Last zu verschleiern und die erfolgreiche Infektion durchzuführen.

Was ist der Babadeda Crypter?

Babadeda ist ein neues Modell in der Familie der Crypters, das Bedrohungsakteuren ermöglicht, die bösartigen Samples zu verschlüsseln und zu verschleiern. Die Verschleierung ermöglicht es der Malware, die meisten Antiviren-Schutzmaßnahmen zu umgehen, ohne Alarm auszulösen. Laut der Analyse der Forscher nutzt Babadeda eine ausgeklügelte und komplexe Verschleierung, die eine sehr geringe Erkennungsrate durch Antiviren-Engines zeigt.

Krypto-, NFT- und DEFI-Communities unter Beschuss

Sicherheitsforscher von Morphisec, die erstmals Babadeda-Muster in freier Wildbahn entdeckten, berichten über eine massive Kampagne, die auf krypto-orientierte Communities abzielt. Insbesondere entschieden sich Babadeda-Akteure, den boomenden Markt für NFT- und Kryptospiele auszunutzen und reiche Affiliates ins Visier zu nehmen, um Anmeldeinformationen für Krypto-Wallets und NFT-Vermögenswerte zu stehlen.

Die Angriffskette beginnt auf dedizierten Discord-Kanälen, die NFT-Drops oder heiße Kryptonachrichten gewidmet sind. Hacker beteiligen sich an den Diskussionen und senden potenziellen Opfern private Nachrichten, in denen sie aufgefordert werden, ein neues Spiel oder eine Anwendung herunterzuladen. In einigen Fällen geben sich Babadeda-Akteure als bestehende Blockchain-Projekte aus, wie ‚Mines of Dalarna‘.

Falls die Opfer dazu verleitet werden, dem bösartigen Link zu folgen, finden sie sich auf einer Lockvogel-Website wieder, die ein angebliches Krypto-Spiel anbietet. Sobald die Schaltfläche ‚Jetzt herunterladen‘ geklickt wird, wird der bösartige Installer mit Babadeda Crypter im Hintergrund heruntergeladen und ausgeführt. Der Installer löst dann die nächste Infektionsphase aus, um verschlüsselte Payloads von entweder Remcos oder BitRAT abzuladen.

Erkennung des Babadeda Crypters

Um mögliche Babadeda-Infektionen zu erkennen und sich proaktiv gegen Eindringlinge zu verteidigen, können Sicherheitspraktiker die Community-Sigma-Regeln herunterladen, die im Threat Detection Marketplace Repository von der SOC Prime Plattform angeboten werden.

Babadeda Crypter zielt auf Kryptowährungs-, NFT- und DeFi-Plattformen (über Proxy)

Diese Erkennung, geschrieben von unserem Threat Bounty Entwickler Sittikorn Sangrattanapitak, bietet Übersetzungen für folgende SIEM- und XDR-Plattformen: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA Netwitness, Apache Kafka ksqlDB, Qualys, Open Distro und Securonix.

Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 ausgerichtet, das die Taktik des anfänglichen Zugangs und die Techniken Phishing (T1566) und Verschleierte Dateien oder Informationen (T1027) anspricht.

Der BABADEDA Crypter zielt auf die Krypto-, NFT- und DeFi-Communities

Diese Erkennung, bereitgestellt von unserem Threat Bounty Entwickler Nattatorn Chuensangarun, bietet Übersetzungen für folgende SIEM- und XDR-Plattformen: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA Netwitness, Apache Kafka ksqlDB, Open Distro und Securonix.

Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 ausgerichtet, das die Taktik der Verteidigungsvermeidung und die Technik der Prozessinjektion (T1055) anspricht.

Suchen Sie nach dem besten SOC-Inhalt, der mit Ihren SIEM-, EDR- und NTDR-Lösungen kompatibel ist? Erkunden Sie die Plattform Detection as Code von SOC Prime, um Ihre benutzerdefinierten Anwendungsfälle zu adressieren, Bedrohungen zu erkennen und Bedrohungen aufzuspüren, und erhalten Sie eine vollständige Visualisierung des Fortschritts Ihres Teams. Sind Sie begeistert von Bedrohungserkennung und möchten zur branchenweit ersten SOC-Inhaltsbibliothek beitragen? Treten Sie unserem Threat Bounty Programm bei!

Zur Plattform gehen Beim Threat Bounty mitmachen

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Blog, Neueste Bedrohungen — 5 min zu lesen
TorNet Backdoor-Erkennung: Eine laufende Phishing-E-Mail-Kampagne verwendet PureCrypter-Malware, um weitere Nutzlasten abzulegen
Veronika Telychko