Эксперты «Лаборатории Касперского» обнаружили сложную многоступенчатую атаку на владельцев криптовалютных кошельков в Европе, США и Латинской Америке. Она проводится с помощью трояна-загрузчика DoubleFinger, который внедряет в систему жертвы малварь для кражи логинов и паролей от криптовалютных кошельков — RAT GreetingGhoul.
Атака начинается с того, что жертва получает в письме и открывает вредоносное вложение в формате PIF. Это действие запускает первый этап загрузчика DoubleFinger. В общей сложности ему требуется пять этапов, чтобы создать в системе жертвы задачу, которую затем стилер GreetingGhoul должен будет выполнять ежедневно в определенное время.
Исследователи пишет, что анализ DoubleFinger и GreetingGhoul показывает, что их разработчики обладают продвинутыми техническими навыками и способны создавать вредоносное ПО на уровне APT-угроз. Так, многоэтапный загрузчик использует шелл-коды и стеганографию, обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике Process Doppelgänging для внедрения в удаленные процессы, что лишний раз подтверждает проработанность и сложность атаки.
Сам стилер состоит из двух компонентов. Первый использует среду MS WebView2 для создания фальшивых окон, которые перекрывают интерфейс настоящих криптовалютных кошельков и куда пользователь по невнимательности может ввести свою seed-фразу. Второй ищет приложения с криптовалютными кошельками на устройстве жертвы.
Также в отчете отмечается, что гекоторые образцы DoubleFinger загружали трояна Remcos RAT. Это известный коммерческий инструмент, который позволяет злоумышленникам осуществлять удаленное администрирование. Ранее он уже встречался в целевых атаках на различные организации.
При этом в коде малвари эксперты обнаружили несколько текстовых фрагментов на русском языке, например, URL-адрес командного сервера начинается с русского слова в искаженной транслитерации слова «Приветствую» —«Privetsvoyu». Кроме того, была обнаружена строка «salamvsembratyamyazadehayustutlokeretodlyagadovveubilinashusferu». Это фраза на русском языке «Салам всем братьям, я задыхаюсь тут, локер — это для гадов, вы убили нашу сферу», тоже в искаженной транслитерации.
Однако эксперты говорят, что этого недостаточно, чтобы утверждать, что за атаками стоят именно русскоговорящие злоумышленники.
