Détection du Crypteur Babadeda

[post-views]
décembre 02, 2021 · 4 min de lecture
Détection du Crypteur Babadeda

Rencontrez Babadeda, un nouveau crypteur notoire dans l’arsenal des acteurs malveillants. Ce malware a été activement utilisé par les adversaires depuis mai 2021 pour contourner les protections de sécurité et livrer discrètement diverses menaces à des victimes sans méfiance. Plusieurs voleurs d’informations et chevaux de Troie d’accès à distance (RATs) ont été déployés grâce à Babadeda. De plus, les mainteneurs de LockBit l’ont également utilisé comme un moyen fiable d’obfusquer la charge utile du ransomware et de procéder à l’infection réussie.

Qu’est-ce que le Crypter Babadeda ?

Babadeda est un nouvel échantillon de la famille des crypteurs, permettant aux acteurs malveillants d’encrypter et d’obfusquer les échantillons malveillants. Cette obfuscation permet au malware de contourner la majorité des protections antivirus sans déclencher d’alertes. Selon l’analyse des chercheurs, Babadeda exploite une obfuscation sophistiquée et complexe qui montre un très faible taux de détection par les moteurs antivirus.

Crypto, NFT, et communautés DEFI sous attaque

Les chercheurs en sécurité de Morphisec, qui ont repéré pour la première fois des échantillons de Babadeda dans la nature, rapportent une campagne massive visant les communautés axées sur la crypto. En particulier, les acteurs de Babadeda ont décidé de profiter du marché en plein essor des jeux NFT et crypto, ciblant des affiliés riches pour dérober les identifiants des portefeuilles crypto et des actifs NFT.

La chaîne d’attaque commence par les canaux Discord dédiés aux largages NFT ou aux actualités chaudes sur les crypto-monnaies. Les hackers rejoignent les discussions et envoient des messages privés aux victimes potentielles, les incitant à télécharger un nouveau jeu ou une application. Dans certains cas, les acteurs de Babadeda se font passer pour des projets blockchain existants, comme “Mines of Dalarna.”

Dans le cas où les victimes sont trompées pour suivre le lien malveillant, elles se retrouvent sur un site factice servant soi-disant un jeu crypto. Une fois le bouton “Télécharger maintenant” cliqué, l’installateur malveillant contenant le crypteur Babadeda est téléchargé et exécuté en arrière-plan. L’installateur déclenche ensuite l’étape d’infection ultérieure pour déposer des charges utiles chiffrées de Remcos ou BitRAT.

Détecter le Crypter Babadeda

Pour détecter de possibles infections par Babadeda et se défendre proactivement contre les intrusions, les professionnels de la sécurité peuvent télécharger les règles Sigma communautaires disponibles dans le référentiel du Marché de Détection de Menaces alimenté par la plateforme SOC Prime.

Babadeda Crypter cible les plateformes de Cryptocurrency NFT et DeFi (via proxy)

Cette détection, écrite par notre développeur Threat Bounty Sittikorn Sangrattanapitak, possède des traductions pour les plateformes SIEM & XDR suivantes : Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetwWitness, Apache Kafka ksqlDB, Qualys, Open Distro, et Securonix.

La règle est alignée sur le dernier cadre MITRE ATT&CK® v.10 abordant la tactique d’accès initial et les techniques de phishing (T1566) et de fichiers ou informations obfusqués (T1027).

Le Crypter BABADEDA cible les communautés Crypto, NFT, DeFi

Cette détection, fournie par notre développeur Threat Bounty Nattatorn Chuensangarun, possède des traductions pour les plateformes SIEM & XDR suivantes : Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetwWitness, Apache Kafka ksqlDB, Open Distro, et Securonix.

La règle est alignée sur le dernier cadre MITRE ATT&CK® v.10 abordant la tactique d’esquive de la défense et la technique d’injection de processus (T1055).

À la recherche du meilleur contenu SOC compatible avec vos solutions SIEM, EDR, et NTDR en cours d’utilisation ? Explorez la plateforme SOC Prime’s Detection as Code pour répondre à vos cas d’utilisation personnalisés, booster la découverte et la recherche de menaces, et obtenir une visualisation complète des progrès de votre équipe. Passionné de recherche de menaces et désireux de contribuer à la première bibliothèque de contenu SOC de l’industrie ? Rejoignez notre programme Threat Bounty !

Aller à la plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko