Para peneliti telah menjelaskan kampanye malware yang sedang berlangsung yang menargetkan penggemar cryptocurrency pada platform perpesanan yang berfokus pada game, Discord .
Ditemukan oleh peneliti keamanan siber di Morphisec, kampanye “canggih” ini bertujuan untuk mendistribusikan jenis malware bernama Babadeda.
“Kami tahu bahwa penginstal malware [Babadeda] ini telah digunakan dalam berbagai kampanye baru-baru ini untuk mengirimkan pencuri informasi, RAT [trojan akses jarak jauh], dan bahkan ransomware LockBit ,” para peneliti berbagi .
Baca Juga :
Lebih buruk lagi, para peneliti mengamati bahwa Babadeda menggunakan complex obfuscation untuk melewati sebagian besar solusi antivirus berbasis tanda tangan tradisional .
Dalam perincian malware mereka, para peneliti mencatat bahwa rantai infeksi dimulai dengan pelaku ancaman phishing pengguna yang tertarik dengan kripto dan NFT dengan mengirimkan pesan pribadi yang menyesatkan, meminta mereka untuk mengunduh aplikasi untuk mengakses fitur baru dan manfaat tambahan.
Apa yang membuat kampanye ini layak untuk diperhatikan adalah seberapa jauh para pelaku ancaman dalam upaya mengelabui para korban agar memasang Babadeda.
“Karena aktor tersebut membuat akun bot Discord di saluran perselisihan perusahaan resmi, mereka berhasil meniru akun resmi saluran tersebut,” catat para peneliti.
Selanjutnya, penyerang menggunakan beberapa langkah lain untuk memastikan bahwa rantai pengiriman terlihat sah bahkan untuk pengguna teknis. Misalnya, mereka menggunakan cybersquatting untuk membuat URL situs web umpan menyerupai yang asli, dan selain meniru antarmuka pengguna, juga menggunakan sertifikat SSL yang dikeluarkan oleh Let’s Encrypt untuk memberikan kesan legitimasi pada penipuan.
