Рассказываем, как технически продвинутый зловред под названием DoubleFinger загружает стилер GreetingGhoul, который охотится на криптовалютные кошельки.
Вокруг криптовалют крутится невероятное количество разнообразных преступных схем — от банальной под тем или иным предлогом до грандиозных .
Опасности подстерегают владельцев крипты буквально на каждом шагу. Совсем недавно мы рассказывали про , которые выглядят и работают совсем как настоящие, но в один не очень прекрасный момент воруют все деньги пользователя. И вот уже : сложную атаку, использующую загрузчик DoubleFinger, который приводит с собой друзей — криптостилер GreetingGhoul и, чтобы уж наверняка, троян удаленного доступа Remcos. Но обо всем по порядку.
Стадия 1. Загрузчик DoubleFinger выполняет , который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.
Стадия 2. Загрузчик «второй ступени» DoubleFinger запускается с использованием вышеупомянутого легитимного файла java.exe, после чего он также выполняет шелл-код, который загружает, расшифровывает и запускает «третью ступень» DoubleFinger.
Стадия 3. На этой стадии DoubleFinger производит ряд действий для обхода установленного на компьютере защитного решения. Далее загрузчик расшифровывает и запускает «четвертую ступень», которая содержится в PNG-файле, упомянутом в описании первой стадии. Кстати, этот PNG-файл помимо вредоносного кода содержит еще и изображение, из-за которого данный зловред получил свое название:
Те самые два пальца, по которым зловред DoubleFinger получил свое название
Стадия 4. На этом этапе DoubleFinger запускает «пятую ступень», используя технику под названием , — подменяет легитимный процесс модифицированным, который и содержит «полезную нагрузку» для пятой стадии.
Стадия 5. После всех вышеописанных манипуляций DoubleFinger делает то, ради чего, собственно, все и затевалось: загружает и расшифровывает очередной PNG-файл, в котором содержится финальная «полезная нагрузка». Ею является криптостилер GreetingGhoul, который устанавливается в системе, а в планировщике заданий создается расписание, согласно которому GreetingGhoul должен запускаться каждый день в определенное время.
Этот зловред содержит в себе два взаимодополняющих компонента:
Пример того, как криптостилер GreetingGhoul перекрывает интерфейс приложений криптокошельков
В результате этих действий преступники, стоящие за DoubleFinger, получают контроль над криптокошельками жертвы и могут вывести из них средства.
Наши эксперты обнаружили несколько модификаций DoubleFinger, некоторые из которых — вишенкой на торте — устанавливают в зараженной системе довольно распространенный в киберпреступной среде Remcos. Цели, для которых он может быть использован, указаны прямо в его названии — REMote COntrol & Surveillance, то есть удаленное управление и слежка. Иными словами, с помощью Remcos киберпреступники могут наблюдать за всеми действиями пользователя и полностью контролировать зараженную систему.
Разумеется, мы не будем пересказывать его полностью, приведем лишь основные соображения:
Вокруг криптовалют крутится невероятное количество разнообразных преступных схем — от банальной под тем или иным предлогом до грандиозных .
Опасности подстерегают владельцев крипты буквально на каждом шагу. Совсем недавно мы рассказывали про , которые выглядят и работают совсем как настоящие, но в один не очень прекрасный момент воруют все деньги пользователя. И вот уже : сложную атаку, использующую загрузчик DoubleFinger, который приводит с собой друзей — криптостилер GreetingGhoul и, чтобы уж наверняка, троян удаленного доступа Remcos. Но обо всем по порядку.
Как загрузчик DoubleFinger устанавливает криптостилер GreetingGhoul
Наши эксперты отдельно отмечают высокий технический уровень этой атаки и ее многоступенчатость — по этой части данная угроза напоминает сложные атаки из категории . Заражение DoubleFinger начинается с электронного письма, в которое вложен вредоносный PIF-файл. После того как пользователь открывает это вложение, происходит цепочка событий, которую можно разделить на несколько стадий:Стадия 1. Загрузчик DoubleFinger выполняет , который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.
Стадия 2. Загрузчик «второй ступени» DoubleFinger запускается с использованием вышеупомянутого легитимного файла java.exe, после чего он также выполняет шелл-код, который загружает, расшифровывает и запускает «третью ступень» DoubleFinger.
Стадия 3. На этой стадии DoubleFinger производит ряд действий для обхода установленного на компьютере защитного решения. Далее загрузчик расшифровывает и запускает «четвертую ступень», которая содержится в PNG-файле, упомянутом в описании первой стадии. Кстати, этот PNG-файл помимо вредоносного кода содержит еще и изображение, из-за которого данный зловред получил свое название:
Те самые два пальца, по которым зловред DoubleFinger получил свое название
Стадия 4. На этом этапе DoubleFinger запускает «пятую ступень», используя технику под названием , — подменяет легитимный процесс модифицированным, который и содержит «полезную нагрузку» для пятой стадии.
Стадия 5. После всех вышеописанных манипуляций DoubleFinger делает то, ради чего, собственно, все и затевалось: загружает и расшифровывает очередной PNG-файл, в котором содержится финальная «полезная нагрузка». Ею является криптостилер GreetingGhoul, который устанавливается в системе, а в планировщике заданий создается расписание, согласно которому GreetingGhoul должен запускаться каждый день в определенное время.
Как стилер GreetingGhoul угоняет криптокошельки
После того как загрузчик DoubleFinger отработал, в игру вступает непосредственно криптостилер GreetingGhoul.Этот зловред содержит в себе два взаимодополняющих компонента:
- Компонент, обнаруживающий в системе приложения криптокошельков и крадущий интересующие преступников данные — приватные ключи и сид-фразы.
- Компонент, перекрывающий интерфейс криптовалютных приложений и перехватывающий вводимую пользователем информацию.
Пример того, как криптостилер GreetingGhoul перекрывает интерфейс приложений криптокошельков
В результате этих действий преступники, стоящие за DoubleFinger, получают контроль над криптокошельками жертвы и могут вывести из них средства.
Наши эксперты обнаружили несколько модификаций DoubleFinger, некоторые из которых — вишенкой на торте — устанавливают в зараженной системе довольно распространенный в киберпреступной среде Remcos. Цели, для которых он может быть использован, указаны прямо в его названии — REMote COntrol & Surveillance, то есть удаленное управление и слежка. Иными словами, с помощью Remcos киберпреступники могут наблюдать за всеми действиями пользователя и полностью контролировать зараженную систему.
Как защитить свои криптокошельки
Криптовалюты — настоящий магнит для киберпреступников, поэтому всем криптоинвесторам обязательно нужно уделять повышенное внимание защите. Кстати, рекомендуем почитать наш недавний пост «Как защитить свои криптоинвестиции: четыре главных совета».Разумеется, мы не будем пересказывать его полностью, приведем лишь основные соображения:
- Ожидайте обмана. Мир криптовалют наполнен мошенниками всевозможных сортов, поэтому всегда и везде нужно ожидать подвоха и все максимально тщательно проверять и перепроверять.
- Не кладите все яйца в одну корзину. Используйте сочетание горячих криптокошельков для текущих операций и холодных криптокошельков для долгосрочного хранения криптовалюты.
- Изучите способы атак на .
- Покупайте у официалов: чтобы не нарваться на , приобретайте устройства только у производителей или авторизованных продавцов.
- Проверяйте, нет ли следов вскрытия: перед использованием нового аппаратного криптокошелька убедитесь, что его корпус не вскрывался – поищите царапины, сколы, следы клея.
- Проверяйте прошивки: регулярно обновляйте прошивки ваших аппаратных криптокошельков до последних версий, скачанных с официального сайта производителя. Перед началом использования аппаратного кошелька сделайте ему сброс до заводских настроек и обновите прошивку.
- Не вводите сид-фразу для вашего аппаратного криптокошелька на компьютере. Поставщик никогда не попросит вас об этом.
- Берегите пароли, ключи и сид-фразы. Используйте надежные и уникальные пароли, и, конечно же, ни под каким видом свои приватные (секретные) ключи и сид-фразы.
- Защищайтесь. Обязательно установите на все устройства, на которых вы работаете с криптокошельками, надёжную защиту.
