Do not speak Portuguese? Translate this site with Google or Bing Translator

Malware no Discord tem como alvo as comunidades de criptografia e NFT

E foi descoberto que uma campanha de Malware no Discord tem como alvo as comunidades de criptografia e NFT. Confira os detalhes dessa ameaça.

Uma nova campanha de malware no Discord usa o crypter Babadeda para ocultar malware que tem como alvo as comunidades crypto, NFT e DeFi.

Malware no Discord tem como alvo as comunidades de criptografia e NFT

Malware no Discord tem como alvo as comunidades de criptografia e NFT
Malware no Discord tem como alvo as comunidades de criptografia e NFT

Babadeda é um crypter usado para criptografar e ofuscar cargas maliciosas no que parecem ser instaladores de aplicativos ou programas inofensivos.

A partir de maio de 2021, os agentes de ameaças distribuíram trojans de acesso remoto ofuscados por Babadeda como um aplicativo legítimo em canais do Discord com tema criptográfico.

Devido à sua obscurecimento complexo, ele tem uma taxa de detecção AV muito baixa e, de acordo com os pesquisadores da Morphisec, suas taxas de infecção estão aumentando rapidamente.

A cadeia de entrega começa nos canais Discord públicos, desfrutando de grande audiência de um público focado em criptografia, como novos drops de NFT ou discussões sobre criptomoedas.

Os atores da ameaça publicam nesses canais ou enviam mensagens privadas para possíveis vítimas, convidando-as a baixar um jogo ou aplicativo.

Em alguns casos, os atores personificam projetos de software de blockchain existentes, como o jogo “Minas de Dalarna”.

Malware no Discord tem como alvo as comunidades de criptografia e NFT
Malware no Discord tem como alvo as comunidades de criptografia e NFT

Se o usuário for enganado e clicar no URL fornecido, ele acabará em um site falso que usa um domínio ciber-pirateado que é fácil de se passar por verdadeiro.

Esses domínios usam um certificado LetsEncrypt válido e oferecem suporte a uma conexão HTTPS, tornando ainda mais difícil para usuários descuidados detectar a fraude.

Malware no Discord tem como alvo as comunidades de criptografia e NFT
Malware no Discord tem como alvo as comunidades de criptografia e NFT

Outros sites de chamariz usados ​​nesta campanha estão listados abaixo:
Sites clonados criados para distribuição de malware
Sites clonados criados para distribuição de malware Fonte: Morphisec

O engano de Babadeda

O download do malware é feito clicando nos botões “Jogar agora” ou “Baixar aplicativo” nos sites acima, escondendo-se na forma de DLLs e arquivos EXE dentro de um arquivo que aparece como qualquer pasta de aplicativo comum à primeira vista.

Se o usuário tentar executar o instalador, receberá uma mensagem de erro falsa para fazer a vítima pensar que nada aconteceu.

Em segundo plano, porém, a execução do malware continua, lendo as etapas de um arquivo XML para executar novos threads e carregar a DLL que implementará a persistência.

Essa persistência é feita por meio de um novo item da pasta de inicialização e da gravação de uma nova chave Run do registro, ambos iniciando o executável primário do crypter.

“As características da seção executável .text são configuradas para RWE (Read-Write-Execute) – dessa forma, o ator não precisa usar VirtualAlloc ou VirtualProtect para copiar o shellcode e transferir a execução.” – Morphisec

“Isso ajuda na evasão, uma vez que essas funções são altamente monitoradas por soluções de segurança. Uma vez que o shellcode é copiado para o executável, a DLL chama o ponto de entrada do shellcode (shellcode_address).”

Babadeda foi usado em campanhas de malware anteriores distribuindo ladrões de informações, RATs e até mesmo o ransomware LockBit, mas nesta campanha específica, Morphisec observou a queda de Remcos e BitRAT.

Remcos é um software de vigilância remota amplamente utilizado que permite que invasores assumam o controle da máquina infectada e roubem credenciais de conta, cookies de navegador, descarte mais payloads, etc.

Nesse caso, como a campanha tem como alvo os membros da comunidade de criptografia, presume-se que eles estão atrás de suas carteiras, fundos de criptomoeda e ativos NFT.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.