Detección del Cifrador Babadeda

[post-views]
diciembre 02, 2021 · 4 min de lectura
Detección del Cifrador Babadeda

Conoce a Babadeda, un nuevo y notorio criptoactivo en el arsenal de los actores de amenazas. El malware ha sido activamente utilizado por los adversarios desde mayo de 2021 para sortear protecciones de seguridad y entregar encubiertamente una variedad de amenazas a víctimas desprevenidas. Múltiples robadores de información y troyanos de acceso remoto (RATs) han sido desplegados con la ayuda de Babadeda. Además, los mantenedores de LockBit también lo usaron como una forma confiable de ofuscar la carga útil del ransomware y proceder con una infección exitosa.

¿Qué es el criptoactivo Babadeda?

Babadeda es un nuevo ejemplo en la familia de criptoactivos, permitiendo a los actores de amenazas cifrar y ofuscar las muestras maliciosas. La ofuscación permite que el malware supere la mayoría de las protecciones antivirus sin desencadenar ninguna alerta. Según el análisis de los investigadores, Babadeda utiliza una ofuscación sofisticada y compleja que muestra una tasa de detección muy baja por los motores antivirus.

Comunidades de Cripto, NFT y DEFI Bajo Fuego

Investigadores de seguridad de Morphisec, quienes primero detectaron muestras de Babadeda en la naturaleza, informan sobre una campaña masiva dirigida a comunidades centradas en criptomonedas. En particular, los actores de Babadeda decidieron aprovechar el próspero mercado de NFT y juegos de criptomonedas, apuntando a afiliados ricos para robar credenciales para billeteras de criptomonedas y activos NFT.

La cadena de ataque comienza desde los canales de Discord dedicados a lanzamientos de NFT o noticias candentes de criptomonedas. Los hackers se unen a las discusiones y envían mensajes privados a posibles víctimas, incitándolas a descargar un nuevo juego o aplicación. En algunas ocasiones, los actores de Babadeda se hacen pasar por los proyectos de blockchain existentes, como «Mines of Dalarna».

En caso de que las víctimas se dejen engañar para seguir el enlace malicioso, se encuentran en un sitio web trampa que sirve un supuesto juego cripto. Una vez que se hace clic en el botón «Descargar ahora», el instalador malicioso que contiene el criptoactivo Babadeda se descarga y ejecuta en segundo plano. El instalador luego desencadena la siguiente etapa de infección para descargar cargas útiles cifradas de Remcos o BitRAT.

Detección del criptoactivo Babadeda

Para detectar posibles infecciones de Babadeda y defenderse proactivamente contra intrusiones, los profesionales de seguridad pueden descargar reglas Sigma comunitarias disponibles en el repositorio de Threat Detection Marketplace impulsado por la plataforma SOC Prime.

El criptoactivo Babadeda apunta a plataformas de criptomonedas NFT y DeFi (a través de proxy)

Esta detección, escrita por nuestro desarrollador Threat Bounty Sittikorn Sangrattanapitak, tiene traducciones para las siguientes plataformas SIEM & XDR: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA Netwitness, Apache Kafka ksqlDB, Qualys, Open Distro y Securonix.

La regla está alineada con el último marco MITRE ATT&CK® v.10 abordando la táctica de Acceso Inicial y las técnicas de Phishing (T1566) y Archivos o Información Ofuscados (T1027).

El criptoactivo BABADEDA apunta a las comunidades de Cripto, NFT, DeFi

Esta detección, proporcionada por nuestro desarrollador Threat Bounty Nattatorn Chuensangarun, tiene traducciones para las siguientes plataformas SIEM & XDR: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA Netwitness, Apache Kafka ksqlDB, Open Distro y Securonix.

La regla está alineada con el último marco MITRE ATT&CK® v.10 abordando la táctica de Evasión de Defensa y la técnica de Inyección de Procesos (T1055).

¿Buscando el mejor contenido SOC compatible con sus soluciones SIEM, EDR y NTDR en uso? Explore la plataforma Detection as Code de SOC Prime para abordar sus casos de uso personalizados, mejorar el descubrimiento de amenazas y la caza de amenazas, y obtener una visualización completa del progreso de su equipo. ¿Apasionado por la caza de amenazas y con ganas de contribuir a la primera biblioteca de contenido SOC de la industria? ¡Únase a nuestro Programa de Recompensas por Amenazas!

Ir a la Plataforma Únete al programa de recompensas por amenazas

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko