Os especialistas da Kaspersky Lab identificaram um ataque complexo de vários estágios direcionado contra proprietários de carteiras de criptomoedas na Europa, Estados Unidos e América Latina. Os invasores usam o downloader do Trojan DoubleFinger para injetar nos PCs das vítimas um programa para roubar logins e senhas das carteiras de criptografia GreetingGhoul e do Trojan Remcos Remote Access (RAT).
Fonte da imagem: pixabay.com
O ataque começa quando a vítima abre um anexo PIF malicioso de um e-mail. Esta ação ativa o primeiro estágio do carregador DoubleFinger. No total, são necessárias cinco etapas para criar uma tarefa que o GreetingGhoul executará diariamente em um horário específico. O ladrão GreetingGhoul consiste em dois componentes, o primeiro dos quais usa o ambiente MS WebView2 para criar janelas falsas que se sobrepõem à interface de carteiras criptográficas reais, e o segundo procura aplicativos com carteiras criptográficas no dispositivo da vítima.
Observa-se que algumas amostras do DoubleFinger também baixaram o Trojan Remcos RAT, que é uma ferramenta comercial bem conhecida com a qual os invasores podem administrar remotamente o dispositivo da vítima. No decorrer de seu trabalho, o DoubleFinger usa shellcodes e esteganografia, ou seja, métodos de ocultação de informações. Ele também fornece execução secreta usando interfaces Windows COM e usa a técnica de substituir um processo legítimo por um malicioso para injetar em processos remotos. Tudo isso indica a sofisticação e complexidade do ataque hacker.
É curioso que os especialistas tenham encontrado vários fragmentos de texto em russo no código do malware. Por exemplo, o URL C&C começa com uma palavra russa na transliteração ilegível “Privetsvoyu”. No entanto, é impossível dizer que os hackers que falam russo estão por trás dos ataques.
«”O interesse dos invasores em criptomoedas continua inabalável. O grupo por trás do downloader DoubleFinger e do malware GreetingGhoul é capaz de criar malware sofisticado e direcionado em nível de ataque. Proteger carteiras de criptomoedas é responsabilidade compartilhada de seus produtores, proprietários e toda a comunidade envolvida. Manter-se vigilante, aplicar medidas de proteção confiáveis e entender as ameaças mais prementes ajudará a reduzir os riscos e garantir a segurança de ativos digitais valiosos”, afirma Sergey Lozhkin, especialista em segurança cibernética da Kaspersky Lab.