Обнаружена сложная многоступенчатая атака на владельцев криптокошельков в Европе, США и Латинской Америке

Специалисты компании «Лаборатория Касперского» выявили сложную многоступенчатую атаку, направленную против владельцев криптовалютных кошельков в Европе, США и Латинской Америке. Злоумышленники используют троян-загрузчик DoubleFinger для внедрения на ПК жертв программы для кражи логинов и паролей от криптокошельков GreetingGhoul и трояна Remcos Remote Access (RAT).

Источник изображения: pixabay.com

Атака начинается в момент, когда жертва открывает вредоносное вложение в формате PIF из электронной почты. Это действие активирует первый этап загрузчика DoubleFinger. Всего ему требуется пять этапов для создания задачи, которую в дальнейшем GreetingGhoul будет выполнять ежедневно в определённое время. Стилер GreetingGhoul состоит из двух компонентов, первый из которых задействует среду MS WebView2 для создания фальшивых окон, которые перекрывают интерфейс настоящих криптокошельков, а второй осуществляет поиск приложений с криптовалютными кошельками на устройстве жертвы.

Отмечается, что некоторые образцы DoubleFinger также загружали троян Remcos RAT, являющийся известным коммерческим инструментом, с помощью которого злоумышленники могут удалённо администрировать устройство жертвы. В процессе работы DoubleFinger использует шелл-коды и стеганографию, т.е. методы сокрытия информации. Он также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и использует технику подмены легитимного процесса вредоносным для внедрения в удалённые процессы. Всё это указывает на проработанность и сложность хакерской атаки.

Любопытно, что в коде вредоноса специалисты обнаружили несколько текстовых фрагментов на русском языке. К примеру, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Однако сказать, что за атаками стоят русскоговорящие хакеры, только по этому признаку нельзя.

«Интерес злоумышленников к криптовалюте не спадает. Группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных, целевых атак. Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов», — считает эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин.