Представительство «Лаборатории Касперского» в Армении. Эксперты «Лаборатории Касперского» обнаружили новую угрозу, использующую загрузчик DoubleFinger для установки криптостилера GreetingGhoul. По их данным, данная угроза напоминает сложные атаки из категории Advanced Persistant Threat (APT). Заражение DoubleFinger начинается с электронного письма, в которое вложен вредоносный PIF-файл. После того как пользователь открывает это вложение, происходит цепочка событий из 5-и стадий.

 

На первой загрузчик DoubleFinger выполняет шелл-код, который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.

 

На второй стадии загрузчик «второй ступени» DoubleFinger запускается с использованием вышеупомянутого легитимного файла java.exe, после чего он также выполняет шелл-код, который загружает, расшифровывает и запускает «третью ступень» DoubleFinger.

 

На третьей стадии DoubleFinger производит ряд действий для обхода установленного на компьютере защитного решения. Далее загрузчик расшифровывает и запускает «четвертую ступень», которая содержится в PNG-файле, упомянутом в описании первой стадии. Этот PNG-файл помимо вредоносного кода содержит еще и изображение двух пальцев, из-за которого данный зловред получил свое название.

 

На четвертой стадии DoubleFinger запускает «пятую ступень», используя технику под названием Process Doppelgänging, — подменяет легитимный процесс модифицированным, который и содержит «полезную нагрузку» для пятой стадии, в которой, после всех вышеописанных манипуляций DoubleFinger делает то, ради чего, собственно, все и затевалось: загружает и расшифровывает очередной PNG-файл, в котором содержится финальная «полезная нагрузка». Ею является криптостилер GreetingGhoul, который устанавливается в системе, а в планировщике заданий создается расписание, согласно которому GreetingGhoul должен запускаться каждый день в определенное время. После того как загрузчик DoubleFinger отработал, в игру вступает непосредственно криптостилер GreetingGhoul. Этот зловред содержит в себе два взаимодополняющих компонента: компонент, обнаруживающий в системе приложения криптокошельков и крадущий интересующие преступников данные — приватные ключи и сид-фразы, а также компонент, перекрывающий интерфейс криптовалютных приложений и перехватывающий вводимую пользователем информацию. В результате этих действий преступники, стоящие за DoubleFinger, получают контроль над криптокошельками жертвы и могут вывести из них средства.

 

Эксперты «Лаборатории Касперского» обнаружили несколько модификаций DoubleFinger, некоторые из которых устанавливают в зараженной системе довольно распространенный в киберпреступной среде троян удаленного доступа Remcos. Цели, для которых он может быть использован, указаны прямо в его названии — REMote COntrol & Surveillance, то есть удаленное управление и слежка. Иными словами, с помощью Remcos киберпреступники могут наблюдать за всеми действиями пользователя и полностью контролировать зараженную систему.

 

Представительство компании «Лаборатория Касперского» в Армении

 

 

  -   Новости науки и технологии