La campaña de malware de Discord se dirige a las comunidades de criptomonedas y NFT

Una nueva campaña de malware en Discord utiliza el criptográfico Babadeda para ocultar el malware dirigido a las comunidades de criptografía, NFT y DeFi.

Babadeda es un cifrador que se utiliza para cifrar y ocultar cargas útiles maliciosas en lo que parecen ser instaladores o programas de aplicación inofensivos.

A partir de mayo de 2021, los actores de amenazas han implementado troyanos de acceso remoto ofuscados por Babadeda como una aplicación legítima en los canales de Discord con temática criptográfica.

Debido a su compleja ofuscación, tiene una tasa de detección AV muy baja y, según los investigadores de Morphisec, sus tasas de infección están aumentando en velocidad.

Phishing en Discord

La cadena de distribución comienza en los canales públicos de Discord que disfrutan de una gran audiencia de una audiencia centrada en las criptomonedas, como las nuevas caídas de NFT o las discusiones sobre criptomonedas.

Los escritores de amenazas publican en estos canales o envían mensajes privados a las víctimas potenciales, invitándolos a descargar un juego o una aplicación.

En algunos casos, los actores se hacen pasar por proyectos de software blockchain existentes, como el juego "Mines of Dalarna".

Publicación de phishing en Discord
Publicación de phishing en Discord
Fuente: Morphisec

Si el usuario es engañado y hace clic en la URL proporcionada, terminará en un sitio señuelo que utiliza un dominio de cybersquat que es tan fácil de pasar como el real.

Estos dominios utilizan un certificado LetsEncrypt válido y admiten una conexión HTTPS, lo que dificulta aún más que los usuarios descuidados detecten el fraude.

Comparación entre un sitio falso y un sitio real
Comparación entre un sitio falso y un sitio real
Fuente: Morphisec

Otros sitios de señuelos utilizados en esta campaña se enumeran a continuación:

Sitios clonados creados para la distribución de malware.
Sitios clonados creados para la distribución de malware.
Fuente: Morphisec

El engaño de Babadeda

El malware se descarga haciendo clic en los botones "Jugar ahora" o "Descargar aplicación" en los sitios anteriores, ocultándose en forma de archivos DLL y EXE dentro de un archivo que a primera vista parece una carpeta de aplicación normal.

Si el usuario intenta ejecutar el instalador, recibirá un mensaje de error falso para engañar a la víctima haciéndole creer que no pasó nada.

Sin embargo, en segundo plano, el malware continúa ejecutándose, leyendo los pasos de un archivo XML para ejecutar nuevos subprocesos y cargar la DLL que implementará la persistencia.

Esta persistencia se logra mediante un nuevo elemento de carpeta de inicio y la escritura de una nueva clave de ejecución del registro, las cuales inician el ejecutable de cifrado principal.

Flujo de ejecución de Babadeda
Flujo de ejecución de Babadeda
Fuente: Morphisec

"Las características de la sección .text ejecutable están configuradas en RWE (lectura-escritura-ejecución), por lo que el actor no necesita usar VirtualAlloc o VirtualProtect para copiar el código de shell y transferir la ejecución". - Morphisec

"Esto ayuda con la evasión ya que estas funciones son altamente monitoreadas por soluciones de seguridad. Una vez que el código de shell se copia en el ejecutable, la DLL llama al punto de entrada del código de shell (shellcode_address)".

Babadeda se ha utilizado en campañas de malware pasadas que distribuyen ladrones de información, RAT e incluso ransomware LockBit, pero en esta campaña específica, Morphisec ha observado el abandono de Remcos y BitRAT.

Remcos es un software de vigilancia remota ampliamente utilizado que permite a los atacantes tomar el control de la máquina infectada y robar credenciales de cuentas, cookies del navegador, eliminar múltiples cargas útiles, etc.

En este caso, como la campaña está dirigida a miembros de la comunidad criptográfica, se supone que están buscando sus billeteras, fondos de criptomonedas y activos NFT.

¿Qué te ha parecido?
Subir