DoubleFinger apunta a billeteras de criptomonedas con Stealer

Se ha observado un nuevo cargador de varias etapas llamado DoubleFinger entregando un ladrón de criptomonedas llamado GreetingGhoul en lo que es un ataque avanzado dirigido a usuarios en Europa, Estados Unidos y América Latina.

"DoubleFinger se implementa en la máquina objetivo, cuando la víctima abre un archivo adjunto PIF malicioso en un mensaje de correo electrónico, ejecutando finalmente la primera de las etapas del cargador de DoubleFinger", dijo el investigador de Kaspersky Sergey Lozhkin en un informe del lunes.

El punto de partida de los ataques es una versión modificada de espexe.exe – que se refiere a la aplicación Microsoft Windows Economical Service Provider – que está diseñada para ejecutar shellcode responsable de recuperar un archivo de imagen PNG del servicio de alojamiento de imágenes Imgur.

La imagen emplea trucos esteganográficos para ocultar una carga útil cifrada que desencadena una cadena de compromiso de cuatro etapas que finalmente culmina en la ejecución del ladrón GreetingGhoul en el host infectado.

Un aspecto notable de GreetingGhoul es su uso de Microsoft Edge WebView2 para crear superposiciones falsificadas sobre billeteras de criptomonedas legítimas para retirar fondos de usuarios desprevenidos. Otro componente que reside dentro del malware captura claves privadas y frases semilla.

DoubleFinger, además de dejar caer GreetingGhoul, también ha sido visto entregando Remcos RAT, un troyano comercial que ha sido ampliamente utilizado por actores de amenazas para atacar entidades europeas y ucranianas en los últimos meses.

El análisis "revela un alto nivel de sofisticación y habilidad en el desarrollo de crimeware, similar a las amenazas persistentes avanzadas (APT)", señaló Lozhkin.

"El cargador de múltiples etapas, estilo shellcode con capacidades esteganográficas, el uso de interfaces COM de Windows para la ejecución sigilosa y la implementación de doppelgänging de procesos para la inyección en procesos remotos apuntan a crimeware bien elaborado y complejo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login