Le vittime non si accorgono di nulla, ma nel frattempo un pericoloso malware comincia a lavorare creando non pochi danni. Si tratta di Babadeda, un crypter che sta attaccando le criptovalute di tutti gli utenti che utilizzano Discord. Questo attacco colpisce e mette in pericolo portafogli, fondi crypto e NTF. La cosa peggiore è che Babadeda è in grado di aggirare le soluzioni antivirus più avanzate, basate su firme. A rilevare questo virus e come funziona è stata Morphisec, leader mondiale nella fornitura di soluzioni di sicurezza avanzate per le medie e piccole imprese in tutto il mondo. Scopriamo insieme cosa hanno scoperto questi ricercatori e perché Babadeda è così pericoloso.
Le criptovalute sono il bersaglio del crypter Babadeda
Purtroppo questa volta a essere bersaglio di attacchi phishing è la comunità di criptovalute su Discord. Questo fenomeno si sta diffondendo enormemente e il suo mercato ad oggi vale più di 2,5 trilioni di dollari. Non sorprende che cybercriminali esperti cerchino di recuperare profitti proprio da questo settore alquanto appetibile.
Ovviamente le tecniche per farlo sono sempre più elaborate e riescono, spesso senza che le vittime se ne accorgano, ad aggirare qualsiasi sistema di sicurezza operando indisturbate. Ed è quello che fa Babadeda e a descriverlo sono proprio gli esperti di Morphisec:
“La stragrande maggioranza delle odierne comunità NFT e crittografiche si basa sui canali Discord (una piattaforma di chat di gruppo). I canali Discord sono accessibili pubblicamente e consentono agli utenti di scambiarsi messaggi privati all’interno di un canale. Nella campagna che abbiamo osservato, un attore di minacce ha sfruttato queste funzionalità per eseguire un attacco phishing alle vittime. L’autore della minaccia ha inviato agli utenti un messaggio privato invitandoli a scaricare un’applicazione correlata che avrebbe presumibilmente concesso all’utente l’accesso a nuove funzionalità e/o vantaggi aggiuntivi. Poiché l’attore ha creato un account bot Discord sul canale Discord ufficiale dell’azienda, è stato in grado di impersonare con successo l’account ufficiale del canale“.
Come agisce Babadeda
Nell’immagine qui sotto riportata potete vedere un esempio di questo attacco phishing su Discord. La pagina a cui rimanda il link è fraudolenta e spingerà la vittima a scaricare un software che durante l’installazione genererà appositamente un finto errore. Questo per far credere al povero malcapitato che nulla è andato in porto per un problema sconosciuto. In realtà Babadeda comincerà ad agire in background mettendo così in pericolo le criptovalute in possesso dell’utente.
Ecco come agisce Babadeda, descritto dagli esperti di Morphisec:
“Una volta scaricato ed eseguito, il programma di installazione dannoso copia i suoi file compressi in una cartella appena creata con un nome dall’aspetto legittimo (ad esempio, IIS Application Health Monitor) in uno dei seguenti percorsi di directory: ‘C:\Utenti<utente>\AppData\Roaming’ o ‘C:\Utenti<utente>\AppData\Local’. I file dannosi vengono copiati insieme a molti altri file relativi alle applicazioni open source o gratuiti. A prima vista, i file all’interno della directory possono sembrare legittimi. Tuttavia, esaminando attentamente questi file, diventa evidente che alcuni di essi sono sospetti e dovrebbero essere ispezionati“.
Sembra proprio abbiano ragione le previsioni di Kaspersky che anticipano un 2022 difficile per le criptovalute e i loro detentori. Meglio correre ai ripari e trovare la soluzione migliore per proteggere i propri portafogli in crypto da qualsiasi attacco crypter come questo di Babadeda.
Ti potrebbe interessare
1 dic 2021