«Лаборатория Касперского»: Продвинутый зловред DoubleFinger охотится на криптовалютные кошельки
Эксперты «Лаборатории Касперского» обнаружили новую угрозу, использующую загрузчик DoubleFinger для установки криптостилера GreetingGhoul. По их данным, данная угроза напоминает сложные атаки из категории Advanced Persistant Threat (APT). Заражение DoubleFinger начинается с электронного письма, в которое вложен вредоносный PIF-файл. После того как пользователь открывает это вложение, происходит цепочка событий из 5-и стадий.
На первой загрузчик DoubleFinger выполняет шелл-код, который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.
На второй стадии загрузчик «второй ступени» DoubleFinger запускается с использованием вышеупомянутого легитимного файла java.exe, после чего он также выполняет шелл-код, который загружает, расшифровывает и запускает «третью ступень» DoubleFinger.
На третьей стадии DoubleFinger производит ряд действий для обхода установленного на компьютере защитного решения. Далее загрузчик расшифровывает и запускает «четвертую ступень», которая содержится в PNG-файле, упомянутом в описании первой стадии. Этот PNG-файл помимо вредоносного кода содержит еще и изображение двух пальцев, из-за которого данный зловред получил свое название.
На четвертой стадии DoubleFinger запускает «пятую ступень», используя технику под названием Process Doppelgänging, — подменяет легитимный процесс модифицированным, который и содержит «полезную нагрузку» для пятой стадии, в которой, после всех вышеописанных манипуляций DoubleFinger делает то, ради чего, собственно, все и затевалось: загружает и расшифровывает очередной PNG-файл, в котором содержится финальная «полезная нагрузка».
Ею является криптостилер GreetingGhoul, который устанавливается в системе, а в планировщике заданий создается расписание, согласно которому GreetingGhoul должен запускаться каждый день в определенное время. После того как загрузчик DoubleFinger отработал, в игру вступает непосредственно криптостилер GreetingGhoul. Этот зловред содержит в себе два взаимодополняющих компонента: компонент, обнаруживающий в системе приложения криптокошельков и крадущий интересующие преступников данные — приватные ключи и сид-фразы, а также компонент, перекрывающий интерфейс криптовалютных приложений и перехватывающий вводимую пользователем информацию. В результате этих действий преступники, стоящие за DoubleFinger, получают контроль над криптокошельками жертвы и могут вывести из них средства.
Эксперты «Лаборатории Касперского» обнаружили несколько модификаций DoubleFinger, некоторые из которых устанавливают в зараженной системе довольно распространенный в киберпреступной среде троян удаленного доступа Remcos. Цели, для которых он может быть использован, указаны прямо в его названии — REMote COntrol & Surveillance, то есть удаленное управление и слежка. Иными словами, с помощью Remcos киберпреступники могут наблюдать за всеми действиями пользователя и полностью контролировать зараженную систему.