Kaspersky a descoperit o nouă campanie sofisticată de atac în mai multe etape, care vizează portofelele digitale de criptomonede în Europa, SUA și America Latină. Atacul implică loader-ul DoubleFinger, un program complex care lansează GreetingGhoul și troianul Remcos Remote Access (RAT). Analiza Kaspersky evidențiază tehnicile avansate și nivelul ridicat de abilități folosite de infractorii cibernetici în acest peisaj de amenințări în continuă evoluție.
După cum arată investigația Kaspersky, loader-ul DoubleFinger în mai multe etape își inițiază atacul atunci când victima deschide, fără să vrea, un atașament PIF malițios, dintr-un mesaj primit pe e-mail. Această acțiune declanșează executarea primei etape a loader-ului, un binar DLL modificat pentru Windows, ulterior fiind executat un cod shell malițios. În continuare, codul shell descarcă o imagine PNG, unde este inclusă o sarcină utilă, care e lansată ulterior, în cadrul atacului.
un fișier .png cu shellcode încorporat
În total, DoubleFinger are nevoie de cinci etape pentru a crea o sarcină programată care execută GreetingGhoul în fiecare zi, la o anumită oră. Apoi, descarcă un alt fișier PNG, îl decriptează și îl execută. GreetingGhoul este conceput special pentru a fura acreditările legate de criptomonede, și este format din două componente: prima utilizează MS WebView2 pentru a crea suprapuneri pe interfețele portofelelor digitale de criptomonede, iar a doua este concepută pentru a detecta aplicațiile acestor portofele, prin intermediul cărora preia informațiile sensibile, precum cuvinte cheie, fraze de recuperare și așa mai departe.
Exemple de ferestre false
Pe lângă GreetingGhoul, Kaspersky a mai găsit și mostre DoubleFinger care au descărcat Remcos RAT. Remcos este un RAT comercial bine-cunoscut, folosit adesea de infractorii cibernetici în atacuri țintite împotriva companiilor și organizațiilor. Loader-ul în mai multe etape, de tip shellcode, cu capacități de steganografie, utilizarea interfețelor Windows COM pentru execuție invizibilă și punerea în aplicare a dublării proceselor pentru injectarea în procese de la distanță, indică un program de crimeware complex și bine conceput.
Aflați mai multe despre campania DoubleFinger pe Securelist.
Pentru a păstra activele de criptomonede în siguranță, experții Kaspersky recomandă:
- Cumpărați portofele hardware numai din surse oficiale și de încredere, precum site-ul web al producătorului sau de la distribuitori autorizați. În cazul portofelelor hardware, nu ar trebui să vă introduceți niciodată informații recovery seed pe computer. Un vânzător de portofele hardware nu vă va cere niciodată acest lucru.
- Verificați dacă există semne de manipulare: Înainte de a utiliza un nou portofel hardware, inspectați-l pentru a vedea dacă există indicii de falsificare, precum zgârieturi, lipici sau componente nepotrivite.
- Verificați firmware-ul: Verificați întotdeauna dacă firmware-ul de pe portofelul hardware este legitim și actualizat. Acest lucru se poate face vizitând site-ul web al producătorului pentru a afla cea mai recentă versiune.
- Păstrați în siguranță seed phrase-ul: Atunci când vă configurați portofelul hardware, asigurați-vă că vă notați și stocați în siguranță seed phrase-ul. O soluție de securitate fiabilă, precum Kaspersky Premium, vă va proteja detaliile stocate pe telefonul mobil sau pe PC.
- Setați o parolă puternică: Dacă portofelul hardware permite această funcție, folosiți o parolă puternică și unică. Evitați să folosiți parole ușor de ghicit sau să refolosiți parolele de la alte conturi.
