Как зловред DoubleFinger ворует крипту | Блог Касперского

Технически сложный зловред DoubleFinger прячется в PNG-картинках, загружает стилер GreetingGhoul, который ворует криптокошельки, а также троян удаленного доступа Remcos RAT.

Вокруг криптовалют крутится невероятное количество разнообразных преступных схем — от банальной разводки на биткойны под тем или иным предлогом до грандиозных криптоограблений на сотни миллионов долларов.

Опасности подстерегают владельцев крипты буквально на каждом шагу. Совсем недавно мы рассказывали про поддельные криптокошельки, которые выглядят и работают совсем как настоящие, но в один не очень прекрасный момент воруют все деньги пользователя. И вот уже наши эксперты обнаружили новую угрозу: сложную атаку, использующую загрузчик DoubleFinger, который приводит с собой друзей — криптостилер GreetingGhoul и, чтобы уж наверняка, троян удаленного доступа Remcos. Но обо всем по порядку.

Как загрузчик DoubleFinger устанавливает криптостилер GreetingGhoul

Наши эксперты отдельно отмечают высокий технический уровень этой атаки и ее многоступенчатость — по этой части данная угроза напоминает сложные атаки из категории Advanced Persistant Threat (APT). Заражение DoubleFinger начинается с электронного письма, в которое вложен вредоносный PIF-файл. После того как пользователь открывает это вложение, происходит цепочка событий, которую можно разделить на несколько стадий:

Стадия 1. Загрузчик DoubleFinger выполняет шелл-код, который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.

Стадия 2. Загрузчик «второй ступени» DoubleFinger запускается с использованием вышеупомянутого легитимного файла java.exe, после чего он также выполняет шелл-код, который загружает, расшифровывает и запускает «третью ступень» DoubleFinger.

Стадия 3. На этой стадии DoubleFinger производит ряд действий для обхода установленного на компьютере защитного решения. Далее загрузчик расшифровывает и запускает «четвертую ступень», которая содержится в PNG-файле, упомянутом в описании первой стадии. Кстати, этот PNG-файл помимо вредоносного кода содержит еще и изображение, из-за которого данный зловред получил свое название:

Те самые два пальца, по которым зловред DoubleFinger получил свое название

Стадия 4. На этом этапе DoubleFinger запускает «пятую ступень», используя технику под названием Process Doppelgänging, — подменяет легитимный процесс модифицированным, который и содержит «полезную нагрузку» для пятой стадии.

Стадия 5. После всех вышеописанных манипуляций DoubleFinger делает то, ради чего, собственно, все и затевалось: загружает и расшифровывает очередной PNG-файл, в котором содержится финальная «полезная нагрузка». Ею является криптостилер GreetingGhoul, который устанавливается в системе, а в планировщике заданий создается расписание, согласно которому GreetingGhoul должен запускаться каждый день в определенное время.

Как стилер GreetingGhoul угоняет криптокошельки

После того как загрузчик DoubleFinger отработал, в игру вступает непосредственно криптостилер GreetingGhoul. Этот зловред содержит в себе два взаимодополняющих компонента:

• Компонент, обнаруживающий в системе приложения криптокошельков и крадущий интересующие преступников данные — приватные ключи и сид-фразы.
• Компонент, перекрывающий интерфейс криптовалютных приложений и перехватывающий вводимую пользователем информацию.

Пример того, как криптостилер GreetingGhoul перекрывает интерфейс приложений криптокошельков

В результате этих действий преступники, стоящие за DoubleFinger, получают контроль над криптокошельками жертвы и могут вывести из них средства.

Наши эксперты обнаружили несколько модификаций DoubleFinger, некоторые из которых — вишенкой на торте — устанавливают в зараженной системе довольно распространенный в киберпреступной среде троян удаленного доступа Remcos. Цели, для которых он может быть использован, указаны прямо в его названии — REMote COntrol & Surveillance, то есть удаленное управление и слежка. Иными словами, с помощью Remcos киберпреступники могут наблюдать за всеми действиями пользователя и полностью контролировать зараженную систему.

Как защитить свои криптокошельки

Криптовалюты — настоящий магнит для киберпреступников, поэтому всем криптоинвесторам обязательно нужно уделять повышенное внимание защите. Кстати, рекомендуем почитать наш недавний пост «Как защитить свои криптоинвестиции: четыре главных совета». Разумеется, мы не будем пересказывать его полностью, приведем лишь основные соображения:

• Ожидайте обмана. Мир криптовалют наполнен мошенниками всевозможных сортов, поэтому всегда и везде нужно ожидать подвоха и все максимально тщательно проверять и перепроверять.
• Не кладите все яйца в одну корзину. Используйте сочетание горячих криптокошельков для текущих операций и холодных криптокошельков для долгосрочного хранения криптовалюты.
• Изучите способы атак на холодные криптокошельки.
• Покупайте у официалов: чтобы не нарваться на поддельный аппаратный криптокошелек, приобретайте устройства только у производителей или авторизованных продавцов.
• Проверяйте, нет ли следов вскрытия: перед использованием нового аппаратного криптокошелька убедитесь, что его корпус не вскрывался – поищите царапины, сколы, следы клея.
• Проверяйте прошивки: регулярно обновляйте прошивки ваших аппаратных криптокошельков до последних версий, скачанных с официального сайта производителя. Перед началом использования аппаратного кошелька сделайте ему сброс до заводских настроек и обновите прошивку.
• Не вводите сид-фразу для вашего аппаратного криптокошелька на компьютере. Поставщик никогда не попросит вас об этом.
• Берегите пароли, ключи и сид-фразы. Используйте надежные и уникальные пароли, безопасно их храните и, конечно же, ни под каким видом не передавайте никому свои приватные (секретные) ключи и сид-фразы.
• Защищайтесь. Обязательно установите на все устройства, на которых вы работаете с криптокошельками, надежную защиту.

12.06.2023