Статья Как два пальца о блокчейн: зловред DoubleFinger

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.104
Репутация
11.695
Реакции
61.893
RUB
50
Рассказываем, как технически продвинутый зловред под названием DoubleFinger загружает стилер GreetingGhoul, который охотится на криптовалютные кошельки.


Вокруг криптовалют крутится невероятное количество разнообразных преступных схем — от банальной под тем или иным предлогом до грандиозных .

Опасности подстерегают владельцев крипты буквально на каждом шагу. Совсем недавно мы рассказывали про , которые выглядят и работают совсем как настоящие, но в один не очень прекрасный момент воруют все деньги пользователя. И вот уже : сложную атаку, использующую загрузчик DoubleFinger, который приводит с собой друзей — криптостилер GreetingGhoul и, чтобы уж наверняка, троян удаленного доступа Remcos. Но обо всем по порядку.

Как загрузчик DoubleFinger устанавливает криптостилер GreetingGhoul​

Наши эксперты отдельно отмечают высокий технический уровень этой атаки и ее многоступенчатость — по этой части данная угроза напоминает сложные атаки из категории . Заражение DoubleFinger начинается с электронного письма, в которое вложен вредоносный PIF-файл. После того как пользователь открывает это вложение, происходит цепочка событий, которую можно разделить на несколько стадий:

Стадия 1. Загрузчик DoubleFinger выполняет , который загружает с сервиса для обмена изображениями Imgur.com файл в формате PNG. На самом деле это никакая не картинка: в файле в зашифрованном виде содержатся несколько компонентов DoubleFinger, которые используются на следующих стадиях атаки. В том числе — загрузчик второй стадии атаки, легитимный файл java.exe и еще один PNG-файл, который будет использован позднее, на четвертой стадии.

Стадия 2. Загрузчик «второй ступени» DoubleFinger запускается с использованием вышеупомянутого легитимного файла java.exe, после чего он также выполняет шелл-код, который загружает, расшифровывает и запускает «третью ступень» DoubleFinger.

Стадия 3. На этой стадии DoubleFinger производит ряд действий для обхода установленного на компьютере защитного решения. Далее загрузчик расшифровывает и запускает «четвертую ступень», которая содержится в PNG-файле, упомянутом в описании первой стадии. Кстати, этот PNG-файл помимо вредоносного кода содержит еще и изображение, из-за которого данный зловред получил свое название:


Те самые два пальца, по которым зловред DoubleFinger получил свое название

Стадия 4. На этом этапе DoubleFinger запускает «пятую ступень», используя технику под названием , — подменяет легитимный процесс модифицированным, который и содержит «полезную нагрузку» для пятой стадии.

Стадия 5. После всех вышеописанных манипуляций DoubleFinger делает то, ради чего, собственно, все и затевалось: загружает и расшифровывает очередной PNG-файл, в котором содержится финальная «полезная нагрузка». Ею является криптостилер GreetingGhoul, который устанавливается в системе, а в планировщике заданий создается расписание, согласно которому GreetingGhoul должен запускаться каждый день в определенное время.

Как стилер GreetingGhoul угоняет криптокошельки​

После того как загрузчик DoubleFinger отработал, в игру вступает непосредственно криптостилер GreetingGhoul.

Этот зловред содержит в себе два взаимодополняющих компонента:

  • Компонент, обнаруживающий в системе приложения криптокошельков и крадущий интересующие преступников данные — приватные ключи и сид-фразы.
  • Компонент, перекрывающий интерфейс криптовалютных приложений и перехватывающий вводимую пользователем информацию.

Пример того, как криптостилер GreetingGhoul перекрывает интерфейс приложений криптокошельков

В результате этих действий преступники, стоящие за DoubleFinger, получают контроль над криптокошельками жертвы и могут вывести из них средства.

Наши эксперты обнаружили несколько модификаций DoubleFinger, некоторые из которых — вишенкой на торте — устанавливают в зараженной системе довольно распространенный в киберпреступной среде Remcos. Цели, для которых он может быть использован, указаны прямо в его названии — REMote COntrol & Surveillance, то есть удаленное управление и слежка. Иными словами, с помощью Remcos киберпреступники могут наблюдать за всеми действиями пользователя и полностью контролировать зараженную систему.

Как защитить свои криптокошельки​

Криптовалюты — настоящий магнит для киберпреступников, поэтому всем криптоинвесторам обязательно нужно уделять повышенное внимание защите. Кстати, рекомендуем почитать наш недавний пост «Как защитить свои криптоинвестиции: четыре главных совета».

Разумеется, мы не будем пересказывать его полностью, приведем лишь основные соображения:

  • Ожидайте обмана. Мир криптовалют наполнен мошенниками всевозможных сортов, поэтому всегда и везде нужно ожидать подвоха и все максимально тщательно проверять и перепроверять.
  • Не кладите все яйца в одну корзину. Используйте сочетание горячих криптокошельков для текущих операций и холодных криптокошельков для долгосрочного хранения криптовалюты.
  • Изучите способы атак на .
  • Покупайте у официалов: чтобы не нарваться на , приобретайте устройства только у производителей или авторизованных продавцов.
  • Проверяйте, нет ли следов вскрытия: перед использованием нового аппаратного криптокошелька убедитесь, что его корпус не вскрывался – поищите царапины, сколы, следы клея.
  • Проверяйте прошивки: регулярно обновляйте прошивки ваших аппаратных криптокошельков до последних версий, скачанных с официального сайта производителя. Перед началом использования аппаратного кошелька сделайте ему сброс до заводских настроек и обновите прошивку.
  • Не вводите сид-фразу для вашего аппаратного криптокошелька на компьютере. Поставщик никогда не попросит вас об этом.
  • Берегите пароли, ключи и сид-фразы. Используйте надежные и уникальные пароли, и, конечно же, ни под каким видом свои приватные (секретные) ключи и сид-фразы.
  • Защищайтесь. Обязательно установите на все устройства, на которых вы работаете с криптокошельками, надёжную защиту.
 
  • Теги
    doublefinger блокчейн стилер greetingghoul
  • Сверху Снизу