Sui canali Discord (un’app di chat e videochiamate molto apprezzata soprattutto dagli appassionati di videogiochi) è in atto una nuova campagna malware che prende di mira criptovalute, Non-fungible token (NFT) e community DeFi (Decentralized Finance) mediante il crypter Babadeda, in grado di aggirare le soluzioni antivirus e mettere in atto una serie di attacchi.
L’obiettivo del malware sembrerebbe essere quello di rubare i portafogli, i fondi di criptovaluta e le risorse NFT delle vittime.
“Il programma di installazione del malware è stato utilizzato in una serie di recenti campagne per rubare informazioni o distribuire RAT (Remote Access Trojan) e persino il ransomware LockBit“, hanno affermato i ricercatori di Morphisec in un rapporto pubblicato questa settimana. Si ipotizza, inoltre, che gli attacchi di distribuzione del malware Babadeda siano iniziati nel maggio 2021.
Crypto truffe su Discord e Telegram: cosa sono, come riconoscerle e difendersi
Indice degli argomenti
Una tecnica di attacco molto sofisticata
I crypter sono un tipo di software utilizzato dai criminali informatici in grado di crittografare, offuscare e manipolare il codice dannoso in modo da apparire apparentemente innocuo e rendere più difficile il rilevamento da parte dei programmi di sicurezza: una vera miniera d’oro per gli autori di malware.
Dall’analisi degli attacchi osservati dai ricercatori di sicurezza di Morphisec risulta che gli attaccanti hanno inviato messaggi di phishing a potenziali utenti sui canali Discord, per giochi basati su blockchain come Mines of Dalarnia, esortandoli a scaricare una nuova versione dell’applicazione.
Se una vittima fa clic sull’URL incorporato nel messaggio, viene automaticamente indirizzata a un dominio di phishing progettato per assomigliare al sito Web originale del gioco che include un collegamento ad un programma di installazione dannoso contenente il crypter Babadeda.
Per rendere ancora più credibile la trappola, il sito esca su cui fare atterrare l’ignara vittima utilizza un dominio che, grazie alla tecnica fraudolenta del cybersquatting, assomiglia molto a quello reale ed è quindi facilmente confondibile con l’home page ufficiale della software house in questione.
Inoltre, il dominio malevolo utilizza un certificato LetsEncrypt valido e supporta una connessione HTTPS: il tutto per rendere ancora più difficile per gli utenti meno esperti individuare la frode.
Di seguito sono elencati anche altri siti esca utilizzati nella campagna malevola in corso sui canali Discord:
L’inganno di Babadeda
Il malware viene scaricato nel momento in cui la vittima clicca sui pulsanti Riproduci ora o Scarica app sui siti trappola che abbiamo appena analizzato, nascondendosi sotto forma di librerie DLL e file EXE all’interno di un archivio che a prima vista appare come una normale cartella dell’applicazione.
Se l’utente tenta di eseguire il programma di installazione, riceverà un falso messaggio di errore per indurre la vittima a pensare che non sia successo nulla.
In background, tuttavia, l’esecuzione del malware continua, leggendo i passaggi da un file XML per eseguire nuovi thread e caricare la DLL infetta.
Questa DDL viene eseguita tramite un nuovo elemento della cartella di avvio e la scrittura di una nuova chiave Run nel registro di configurazione di Windows, entrambi avviando l’eseguibile primario di crypter.
“Le caratteristiche della sezione .text eseguibile sono configurate su RWE (Read-Write-Execute): in questo modo l’hacker non ha bisogno di usare VirtualAlloc o VirtualProtect per copiare lo shellcode e trasferire l’esecuzione”, riportano i ricercatori Morphisec nel loro rapporto.
“Questo aiuta l’hacker poiché queste funzioni sono altamente monitorate dalle soluzioni di sicurezza. Una volta che lo shellcode viene copiato nell’eseguibile, la DLL chiama il punto di ingresso dello shellcode (shellcode_address)”, si legge ancora nel rapporto.
Come mitigare i rischi
Come abbiamo visto, il crypter Babadeda rappresenta una minaccia altamente pericolosa: prendere di mira gli utenti di criptovalute attraverso vettori di attacco fidati dà infatti agli attori della minaccia una lunga lista di potenziali vittime.
Il fatto, poi, che riesca a compromettere la macchina della vittima mascherandosi come un’applicazione nota con un offuscamento complesso, ha come conseguenza che chiunque si affidi a soluzioni di sicurezza basate sul riconoscimento dei malware mediante firme non ha modo di sapere che Babadeda è in esecuzione sulla propria macchina o di fermarne l’esecuzione.
Per mitigare la minaccia, quindi, è consigliabile adottare sistemi che mettano in sicurezza la memoria del dispositivo isolando minacce come Babadeda prima che vengano distribuite.
Infine, è opportuno valutare l’implementazione sui propri apparati di sicurezza degli indicatori di compromissione (IoC) pubblicati dai ricercatori Morphisec nel loro rapporto.
