search icon

Τεχνολογία

DoubleFinger: Το κακόβουλο λογισμικό πολλαπλών σταδίων που στοχεύει τα cryptowallets

Όπως δείχνει η έρευνα της Kaspersky, το loader πολλαπλών σταδίων DoubleFinger ξεκινά την επίθεσή του όταν το θύμα ανοίγει άθελά του ένα κακόβουλο συνημμένο PIF αρχείο σε ένα email

Η Kaspersky ανακάλυψε μία νέα εξελιγμένη εκστρατεία επιθέσεων πολλαπλών σταδίων με στόχο cryptowallets στην Ευρώπη, τις ΗΠΑ και τη Λατινική Αμερική.

Η επίθεση περιλαμβάνει το DoubleFinger loader, ένα σύνθετο λογισμικό τύπου crimeware, το οποίο αναπτύσσει το GreetingGhoul stealer κρυπτονομισμάτων και το Remcos Remote Access Trojan (RAT). Η ανάλυση της Kaspersky υπογραμμίζει τις προηγμένες τεχνικές και το υψηλό επίπεδο δεξιοτήτων των κυβερνοεγκληματιών στο εξελισσόμενο αυτό τοπίο απειλών.

Όπως δείχνει η έρευνα της Kaspersky, το loader πολλαπλών σταδίων DoubleFinger ξεκινά την επίθεσή του όταν το θύμα ανοίγει άθελά του ένα κακόβουλο συνημμένο PIF αρχείο σε ένα email. Έτσι ενεργοποιείται η εκτέλεση του πρώτου σταδίου του loader, ένα τροποποιημένο δυαδικό αρχείο DLL των Windows και, στη συνέχεια, η εκτέλεση ενός κακόβουλου shellcode. Έπειτα, το shellcode κατεβάζει μια εικόνα PNG που περιλαμβάνει ένα ωφέλιμο φορτίο που υποτίθεται ότι θα εκτελεστεί αργότερα στο πλαίσιο της επίθεσης.

Συνολικά, το DoubleFinger χρειάζεται πέντε στάδια για να δημιουργήσει μια προγραμματισμένη εργασία που εκτελεί το πρόγραμμα κλοπής GreetingGhoul κάθε μέρα σε μια συγκεκριμένη ώρα. Κατόπιν, πραγματοποιεί λήψη ενός άλλου αρχείου PNG, το αποκρυπτογραφεί και το εκτελεί. Το GreetingGhoul είναι ένα stealer σχεδιασμένο για να κλέβει διαπιστευτήρια που σχετίζονται με κρυπτονομίσματα και αποτελείται από δύο στοιχεία: το πρώτο χρησιμοποιεί το MS WebView2 για να δημιουργήσει επικαλύψεις στις διεπαφές πορτοφολιών κρυπτονομισμάτων και το δεύτερο έχει σχεδιαστεί για να ανιχνεύει εφαρμογές πορτοφολιού κρυπτονομισμάτων και να κλέβει ευαίσθητες πληροφορίες, όπως κλειδιά, φράσεις ανάκτησης και ούτω καθεξής.

Παραδείγματα πλαστών windows

Εκτός από το GreetingGhoul, η Kaspersky εντόπισε επίσης δείγματα DoubleFinger που έκαναν εγκατάσταση του Remcos RAT. Το Remcos είναι ένα πολύ γνωστό εμπορικό RAT που χρησιμοποιείται συχνά από εγκληματίες του κυβερνοχώρου σε στοχευμένες επιθέσεις εναντίον επιχειρήσεων και οργανισμών. Το πρόγραμμα φόρτωσης πολλαπλών σταδίων, τύπου shellcode με δυνατότητες steganography, η χρήση διεπαφών Windows COM για κρυφή εκτέλεση και η εφαρμογή διεργασιών doppelgänging για έγχυση σε απομακρυσμένες διαδικασίες, υποδηλώνουν ένα καλοφτιαγμένο και πολύπλοκο λογισμικό τύπου crimeware.

«Καθώς η αξία και η δημοτικότητα των κρυπτονομισμάτων συνεχίζει να αυξάνεται, αντίστοιχα αυξάνεται και το ενδιαφέρον των κυβερνοεγκληματιών. Η ομάδα πίσω από το DoubleFinger loader και το κακόβουλο λογισμικό GreetingGhoul ξεχωρίζει ως εξελιγμένος δράστης με υψηλές δεξιότητες στην ανάπτυξη λογισμικού crimeware, παρόμοιο με προηγμένες επίμονες απειλές. Η προστασία των κρυπτονομισμάτων αποτελεί κοινή ευθύνη μεταξύ των παρόχων πορτοφολιών, του καθενός ατομικά και της ευρύτερης κοινότητας των κρυπτονομισμάτων. Και παραμένοντας σε εγρήγορση, εφαρμόζοντας ισχυρά μέτρα ασφαλείας και μένοντας ενημερωμένοι για τις πιο πρόσφατες απειλές, μπορούμε να μετριάζουμε τους κινδύνους και να κρατάμε ασφαλή τα πολύτιμα ψηφιακά περιουσιακά μας στοιχεία», αναφέρει ο Sergey Lozhkin, επικεφαλής ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Μάθετε περισσότερα σχετικά με την εκστρατεία DoubleFinger στο Securelist.

Για να διατηρηθούν ασφαλή τα κρύπτο-περιουσιακά στοιχεία, οι ειδικοί της Kaspersky συνιστούν επίσης:

Διαβάστε ακόμη

«Καμπάνα» από Στουρνάρα για σοβαρές αποφάσεις και μέτρα κατά της φοροδιαφυγής

Τι αλλάζει στα τιμολόγια ρεύματος από την 1η Οκτωβρίου

Γκριμάλντι: Με €164 εκατ. κυρίαρχος σε Ηγουμενίτσα και Ηράκλειο – Το παρασκήνιο και τα σχέδια στην Κρήτη

Για όλες τις υπόλοιπες ειδήσεις της επικαιρότητας μπορείτε να επισκεφτείτε το Πρώτο ΘΕΜΑ

Exit mobile version