พบการแพร่มัลแวร์อำพรางตนโดยการใช้โปรแกรมเข้ารหัส Babadeda Crypto

เว็บไซต์ thehackernews.com รายงานเมื่อ ๒๖ พ.ย.๖๔ ว่า มีการค้นพบการเผยแพร่มัลแวร์รูปแบบใหม่โดยใช้โปรแกรมเข้ารหัสที่ชื่อว่า "Babadeda" ดำเนินการเข้ารหัสมัลแวร์ ซึ่งสามารถหลบเลี่ยงการตรวจสอบของโปรแกรมป้องกันไวรัสและมีการโจมตีหลากหลายรูปแบบ การแพร่มัลแวร์แบบเข้ารหัสด้วยโปรแกรม "Babadeda" มีเป้าหมายไปยังสกุลเงินดิจิทัล ระบบจ่ายเงินสำหรับสินทรัพย์ดิจิทัลที่ไม่สามารถทดแทนได้ (non-fungible tokens: NFT) และระบบการเงินแบบไม่รวมศูนย์ (Decentralized Finance: DeFi) ตัวมัลแวร์ที่เข้ารหัสนั้นได้เผยแพร่ผ่านช่องทาง Discord จากการตรวจสอบของ MORPHISEC บริษัทรักษาความมั่นคงปลอดภัยไซเบอร์ พบว่าการเข้ารหัสการเพื่อกระจายมัลแวร์ด้วยโปรแกรมดังกล่าว ได้เริ่มขึ้นเมื่อ พ.ค.๖๔ โปรแกรมติดตั้งมัลแวร์เข้ารหัสนั้นถูกใช้ในเพื่อส่งไฟล์ขโมยข้อมูลอย่าง RAT หรือมัลแวร์เรียกค่าไถ่ LockBit 

การเข้ารหัสมัลแวร์เพื่อหลีกเลี่ยงการตรวจจับ

การเข้ารหัสลับ เป็นซอฟต์แวร์ประเภทหนึ่งที่มักใช้โดยอาชญากรไซเบอร์เพื่อเข้ารหัส และจัดการโค้ดที่เป็นอันตราย ให้ดูเหมือนไม่มีอันตราย และทำให้โปรแกรมรักษาความปลอดภัยตรวจพบได้ยากขึ้น ซึ่งเป็นหัวใจสำคัญสำหรับผู้เขียนมัลแวร์

การบุกรุกที่ตรวจพบโดย Morphisec นั้น พบช่องทางการกระจายมัลแวร์โดยที่ส่งข้อความหลอกลวงประเภท Phishing ไปหาเหยื่อผ่านทางช่อง Discord ที่เกี่ยวข้องกับเกมและบล็อคเชน เพื่อกระตุ้นให้เหยื่อดาวน์โหลดแอปพลิเคชัน ดังกล่าว หากเหยื่อคลิก URL ที่ฝังอยู่ภายในข้อความ จะถูกนำไปยังเว็บไซต์ Phishing ที่ออกแบบมาให้คล้ายกับเว็บไซต์ของเกม และมีลิงก์ไปยังโปรแกรมติดตั้งที่เป็นอันตรายซึ่งเข้ารหัสด้วย Babadeda จากนั้นเมื่อติดตั้งโปรแกรม มัลแวร์ก็จะถูกส่งลงเครื่องของเหยื่อ 

 Morphisec อ้างว่าการโจมตีเป็นภัยคุกคามจากประเทศที่ใช้ภาษารัสเซีย เนื่องจากมีข้อความภาษารัสเซียปรากฏบนเว็บไซต์ Phishing และมีเว็บไซต์ที่เป็นอันตรายมากถึง ๘๔ เว็บไซต์ที่สร้างขึ้นระหว่างวันที่ ๒๔ ก.ค.๖๔ ถึง ๑๗ พ.ย. ๖๔ เป้าหมายผู้ใช้สกุลเงินดิจิทัล ทำให้ผู้ที่ตกเป็นเหยื่อเพิ่มขึ้นอย่างรวดเร็ว