Detecção do Crypter Babadeda

[post-views]
Dezembro 02, 2021 · 4 min de leitura
Detecção do Crypter Babadeda

Conheça Babadeda, um novo crypter notório no arsenal de atores mal-intencionados. O malware tem sido utilizado ativamente por adversários desde maio de 2021 para contornar proteções de segurança e entregar uma variedade de ameaças a vítimas desavisadas. Vários infostealers e Trojans de Acesso Remoto (RATs) foram implantados com a ajuda do Babadeda. Além disso, os mantenedores do LockBit também o usaram como uma forma confiável de ofuscar a carga útil do ransomware e proceder com a infecção bem-sucedida.

O Que é o Babadeda Crypter?

Babadeda é uma nova amostra na família dos crypters, permitindo que atores mal-intencionados encriptem e ofusquem as amostras maliciosas. A ofuscação permite que o malware bypass a maioria das proteções antivírus sem acionar alertas. De acordo com a análise dos pesquisadores, o Babadeda utiliza uma ofuscação sofisticada e complexa que apresenta uma taxa de detecção muito baixa pelos motores de antivírus.

Comunidades de Cripto, NFTs e DeFi Sob Fogo

Pesquisadores de segurança da Morphisec, que primeiro avistaram amostras do Babadeda em campo, relatam sobre uma campanha massiva voltada para comunidades focadas em criptomoedas. Particularmente, os atores do Babadeda decidiram aproveitar o crescente mercado de jogos de NFT e criptomoedas, mirando em afiliados ricos para roubar credenciais para carteiras de criptomoedas e ativos de NFT.

A cadeia de ataque começa a partir de canais dedicados do Discord dedicados a lançamentos de NFTs ou notícias quentes de criptomoedas. Hackers entram nas discussões e enviam mensagens privadas para vítimas potenciais, incitando-as a baixar um novo jogo ou aplicativo. Em algumas ocasiões, os atores do Babadeda se passam por projetos existentes de blockchain, como “Mines of Dalarna.”

Caso as vítimas sejam enganadas a seguir o link malicioso, elas se encontram em um site de isca que oferece um suposto jogo de criptomoeda. Uma vez que o botão “Baixar Agora” é clicado, o instalador malicioso contendo o crypter Babadeda é baixado e executado em segundo plano. O instalador então aciona o estágio posterior da infecção para soltar cargas úteis encriptadas do Remcos ou BitRAT.

Detectando o Babadeda Crypter

Para detectar possíveis infecções pelo Babadeda e defender-se proativamente contra intrusões, profissionais de segurança podem baixar as regras Sigma disponíveis no repositório do Threat Detection Marketplace, alimentado pela plataforma SOC Prime.

Babadeda Crypter Mira Plataformas de Criptomoeda NFT e DeFi (via proxy)

Esta detecção, escrita por nosso desenvolvedor do Threat Bounty Sittikorn Sangrattanapitak, possui traduções para as seguintes plataformas SIEM & XDR: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetwWitness, Apache Kafka ksqlDB, Qualys, Open Distro, e Securonix.

A regra está alinhada com a última versão do MITRE ATT&CK® framework v.10, abordando a tática de Acesso Inicial e as técnicas de Phishing (T1566) e Arquivos ou Informações Ofuscados (T1027).

O BABADEDA Crypter Mira as Comunidades de Cripto, NFT, DeFi

Esta detecção, fornecida por nosso desenvolvedor do Threat Bounty Nattatorn Chuensangarun, possui traduções para as seguintes plataformas SIEM & XDR: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetwWitness, Apache Kafka ksqlDB, Open Distro, e Securonix.

A regra está alinhada com a última versão do MITRE ATT&CK® framework v.10, abordando a tática de Evasão de Defesa e a técnica de Injeção de Processo (T1055).

Procurando pelo melhor conteúdo de SOC compatível com suas soluções SIEM, EDR, e NTDR em uso? Explore a plataforma Detection as Code da SOC Prime para abordar seus casos de uso personalizados, aumentar a descoberta e caça de ameaças, e obter uma visualização completa do progresso da sua equipe. Apaixonado por caça às ameaças e ansioso para contribuir para a primeira biblioteca de conteúdo SOC da indústria? Junte-se ao nosso Programa Threat Bounty!

Ir para a Plataforma Junte-se ao Threat Bounty

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko