Специалисты из «Лаборатории Касперского» сообщили о сложном многоэтапном загрузчике DoubleFinger, который используется для доставки вредоносного программного обеспечения (ВПО), направленного на кражу криптовалютных активов. Этот вид угрозы не нов — ещё в начале 2010-х годов киберпреступники взломали криптовалютную биржу Mt.Gox и похитили сотни тысяч биткоинов.
DoubleFinger является одной из последних разработок хакеров в этой области. Он применяется для проникновения в целевые системы. Причём заражение вредоносным ПО происходит через вредоносные приложения, вложенные в электронные письма. Если пользователь открывает такое вложение, запускается начальная стадия загрузчика.
После успешной активации DoubleFinger в целевой системе вредоносное ПО загружает GreetingGhoul. Этот стилер крадёт учетные данные для криптовалютных операций. Он включает в себя два главных компонента: первый создаёт фейковые окна поверх интерфейса криптовалютных кошельков с использованием Microsoft WebKit2, а второй ищет приложения криптокошельков и крадёт конфиденциальные фразы-ключи (в чатсности, сид-фразы).
С аппаратными кошельками ситуация сложнее: пользователю не требуется вводить сид-фразы на компьютере, поскольку вендоры не запрашивают их в своих сервисах.
В «Лаборатории Касперского» уточнили, что вместе с GreetingGhoul обнаружены также несколько образцов DoubleFinger, которые загружают RAT-троянца Remcos. Это известный коммерческий инструмент удалённого администрирования, часто применяемый хакерами и регулярно замечаемый при проведении различных кибератак на организации.
Анализ загрузчика DoubleFinger и вредоносного ПО GreetingGhoul показывает, что их разработчики обладают отличными техническими навыками и могут создавать вредоносные программы на уровне APT-угроз. В этом многоэтапном загрузчике используются Shell-коды и стеганография, что позволяет обеспечить скрытое выполнение с использованием COM-интерфейса Windows. Загрузчик также применяет технику Process Doppelgänging, чтобы внедриться в удалённые процессы.
Использование среды выполнения Microsoft WebView2 для создания фейковых интерфейсов криптокошельков является ещё одним продвинутым решением в рамках этой кибератаки. Всё это свидетельствует о высокой степени проработанности и сложности кибератак, которые проводятся хакерами.
Полная версия отчета представлена по ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
