DoubleFinger: un program malware în mai multe etape care vizează portofelele digitale de criptomonede

Share

Kaspersky a descoperit o nouă campanie sofisticată de atac în mai multe etape, care vizează portofelele digitale de criptomonede în Europa, SUA și America Latină. Atacul implică loader-ul DoubleFinger, un program complex care lansează GreetingGhoul și troianul Remcos Remote Access (RAT). Analiza Kaspersky evidențiază tehnicile avansate și nivelul ridicat de abilități folosite de infractorii cibernetici în acest peisaj de amenințări în continuă evoluție.

După cum arată investigația Kaspersky, loader-ul DoubleFinger în mai multe etape își inițiază atacul atunci când victima deschide, fără să vrea, un atașament PIF malițios, dintr-un mesaj primit pe e-mail. Această acțiune declanșează executarea primei etape a loader-ului, un binar DLL modificat pentru Windows, ulterior fiind executat un cod shell malițios. În continuare, codul shell descarcă o imagine PNG, unde este inclusă o sarcină utilă, care e lansată ulterior, în cadrul atacului.

În total, DoubleFinger are nevoie de cinci etape pentru a crea o sarcină programată care execută GreetingGhoul în fiecare zi, la o anumită oră. Apoi, descarcă un alt fișier PNG, îl decriptează și îl execută. GreetingGhoul este conceput special pentru a fura acreditările legate de criptomonede, și este format din două componente: prima utilizează MS WebView2 pentru a crea suprapuneri pe interfețele portofelelor digitale de criptomonede, iar a doua este concepută pentru a detecta aplicațiile acestor portofele, prin intermediul cărora preia informațiile sensibile, precum cuvinte cheie, fraze de recuperare și așa mai departe.

Pe lângă GreetingGhoul, Kaspersky a mai găsit și mostre DoubleFinger care au descărcat Remcos RAT. Remcos este un RAT comercial bine-cunoscut, folosit adesea de infractorii cibernetici în atacuri țintite împotriva companiilor și organizațiilor. Loader-ul în mai multe etape, de tip shellcode, cu capacități de steganografie, utilizarea interfețelor Windows COM pentru execuție invizibilă și punerea în aplicare a dublării proceselor pentru injectarea în procese de la distanță, indică un program de crimeware complex și bine conceput.