Rilevamento del Crypter Babadeda

[post-views]
Dicembre 02, 2021 · 4 min di lettura
Rilevamento del Crypter Babadeda

Incontra Babadeda, un nuovo famigerato crypter nell’arsenale degli attori delle minacce. Il malware è stato sfruttato attivamente dagli avversari da maggio 2021 per aggirare le protezioni di sicurezza e consegnare segretamente una varietà di minacce a vittime ignare. Diversi infostealer e Trojan di accesso remoto (RAT) sono stati distribuiti con l’aiuto di Babadeda. Inoltre, i manutentori di LockBit lo hanno utilizzato anche come un modo affidabile per offuscare il payload del ransomware e procedere con l’infezione riuscita.

Cos’è Babadeda Crypter?

Babadeda è un nuovo campione nella famiglia dei crypter, che consente agli attori delle minacce di crittografare e offuscare i campioni malevoli. L’offuscamento consente al malware di aggirare la maggior parte delle protezioni antivirus senza attivare alcun avviso. Secondo l’analisi dei ricercatori, Babadeda sfrutta un’offuscamento sofisticato e complesso che mostra un tasso di rilevamento molto basso da parte dei motori antivirus.

Comunità Crypto, NFT e DEFI sotto attacco

I ricercatori della sicurezza di Morphisec, che hanno individuato per primi i campioni di Babadeda in natura, riportano una massiccia campagna mirata alle comunità focalizzate sul crypto. In particolare, gli attori di Babadeda hanno deciso di sfruttare il fiorente mercato dei giochi NFT e delle criptovalute, prendendo di mira affiliati benestanti per rubare credenziali per portafogli crypto e asset NFT.

La catena di attacco inizia dai canali dedicati di Discord dedicati ai lanci NFT o alle notizie calde sulle criptovalute. Gli hacker si uniscono alle discussioni e inviano messaggi privati alle potenziali vittime, invitandole a scaricare un nuovo gioco o applicazione. In alcune occasioni, gli attori di Babadeda si fingono progetti blockchain esistenti, come “Mines of Dalarna”.

Nel caso in cui le vittime vengano indotte a seguire il link malevolo, si ritrovano su un sito web esca che offre un presunto gioco crypto. Una volta cliccato il pulsante “Scarica Ora”, l’installer malevolo contenente il crypter Babadeda viene scaricato ed eseguito in background. L’installer innesca quindi lo stadio di infezione successivo per rilasciare i payload crittografati di Remcos o BitRAT.

Rilevamento di Babadeda Crypter

Per rilevare possibili infezioni da Babadeda e difendersi proattivamente dalle intrusioni, i professionisti della sicurezza possono scaricare le regole Sigma della comunità disponibili nel repository del Threat Detection Marketplace alimentato dalla piattaforma SOC Prime.

Babadeda Crypter prende di mira le piattaforme Cryptocurrency NFT e DeFi (tramite proxy)

Questo rilevamento, scritto dal nostro sviluppatore Threat Bounty Sittikorn Sangrattanapitak, ha traduzioni per le seguenti piattaforme SIEM & XDR: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA Netwitness, Apache Kafka ksqlDB, Qualys, Open Distro e Securonix.

La regola è allineata con l’ultimo framework MITRE ATT&CK® versione 10 che affronta la tattica Initial Access e le tecniche Phishing (T1566) e File o Informazioni Offuscate (T1027).

Il BABADEDA Crypter prende di mira le comunità Crypto, NFT, DeFi

Questo rilevamento, fornito dal nostro sviluppatore Threat Bounty Nattatorn Chuensangarun, ha traduzioni per le seguenti piattaforme SIEM & XDR: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA Netwitness, Apache Kafka ksqlDB, Open Distro e Securonix.

La regola è allineata con l’ultimo framework MITRE ATT&CK® versione 10 che affronta la tattica di Evasione Difensiva e la tecnica di Iniezione del Processo (T1055).

Cerchi il miglior contenuto SOC compatibile con le tue soluzioni SIEM, EDR e NTDR in uso? Esplora la piattaforma Detection as Code di SOC Prime per affrontare i tuoi casi d’uso personalizzati, potenziare la scoperta delle minacce e il threat hunting, e ottenere una visualizzazione completa dei progressi del tuo team. Sei appassionato di threat hunting e desideri contribuire alla prima libreria di contenuti SOC del settore? Unisciti al nostro Programma Threat Bounty!

Vai alla Piattaforma Unisciti al Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko