Эксперты «Лаборатории Касперского» обнаружили новую сложную многоступенчатую атаку на владельцев криптокошельков в Европе, США и Латинской Америке. Она проводится с помощью троянца-загрузчика DoubleFinger. Это сложное вредоносное ПО, которое внедряет программу для кражи логинов и паролей от криптовалютных кошельков — GreetingGhoul — и троянец Remcos Remote Access Trojan (RAT). Эксперты обращают внимание, что атакующие используют продвинутые методы и демонстрируют высокий уровень технических навыков.
Как устроена атака. Атака начинается после того, как жертва открывает вредоносное вложение в формате PIF в электронной почте. Это действие запускает первый этап загрузчика DoubleFinger. В общей сложности ему требуется пять этапов, чтобы создать задачу, которую затем стилер GreetingGhoul должен будет выполнять ежедневно в определённое время.
Сам стилер состоит из двух компонентов. Первый использует среду MS WebView2 для создания фальшивых окон, которые перекрывают интерфейс настоящих криптовалютных кошельков и куда пользователь по невнимательности может ввести cид-фразу. Второй ищет приложения с криптовалютными кошельками на устройстве жертвы.
Некоторые образцы DoubleFinger загружали троянец Remcos RAT. Это известный коммерческий инструмент, который позволяет злоумышленникам осуществлять удалённое администрирование. Ранее он уже встречался в целевых атаках на различные организации.
DoubleFinger использует шелл-коды и стеганографию, то есть специальные методы сокрытия информации. Он также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике подмены легитимного процесса вредоносным для внедрения в удалённые процессы — всё это подтверждает проработанность и сложность атаки. При этом в коде зловреда эксперты обнаружили несколько текстовых фрагментов на русском языке, например, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Однако этого недостаточно, чтобы утверждать, что за атаками стоят русскоговорящие организаторы.
«Интерес злоумышленников к криптовалюте не спадает. Группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных, целевых атак. Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов», — говорит Сергей Ложкин, эксперт по кибербезопасности «Лаборатории Касперского».
Подробнее об атаке можно узнать на странице securelist.ru/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/107578/.
Чтобы защитить криптоактивы от кибератак, «Лаборатория Касперского» рекомендует:
- покупать аппаратный кошелёк напрямую у официального производителя;
- перед покупкой проверять, нет ли следов взлома: царапин, следов клея, плохо стыкующихся деталей;
- отслеживать на сайте производителя обновления прошивки;
- защищать все устройства, с помощью которых кошелёк подключается к интернету, с помощью надёжного решения, такого как Kaspersky Premium;
- установить на аппаратном кошельке сложный, уникальный пароль, который не будет повторять пароли от других устройств и аккаунтов, — если такая возможность предусмотрена.