DoubleFinger: malware que roba cripto
Analistas advirtieron sobre la aparición de DoubleFinger, un nuevo malware que ataca wallets y roba cripto.
Kaspersky descubrió una sofisticada campaña de ataque contra wallets de criptomonedas en Europa, Estados Unidos y Latinoamérica.
El software malicioso DoubleFinger despliega el ladrón de criptomonedas GreetingGhoul.
Y también el troyano de acceso remoto (RAT) Remcos.
El análisis de Kaspersky revela que se trata de una campaña de un alto nivel técnico.
El malware multifase DoubleFinger inicia el ataque cuando la víctima, sin darse cuenta, abre un archivo PIF adjunto malicioso que recibió por correo electrónico.
Esta acción desencadena la ejecución de la primera fase, que se vale de un binario DLL de Windows.
Modificado para ejecutar posteriormente un shellcode.
Se trata de código usado para la ejecución de actividad maliciosa en el equipo de la víctima.
Este shellcode descarga una imagen PNG que, a su vez, incluye un payload (carga útil) que se lanzará más adelante.
En total, DoubleFinger despliega cinco fases hasta conseguir programar GreetingGhoul todos los días.
A una hora específica en el equipo de la víctima.
GreetingGhoul se diseñó para robar credenciales de criptomonedas e incluye dos componentes.
La primera, MS WebView2, crea superposiciones en las interfaces de la billetera de criptomonedas.
Mientras que la segunda, un servicio que roba información confidencial como claves, frases de recuperación, etcétera.
Además de GreetingGhoul, Kaspersky también encontró evidencias de DoubleFinger que descargaban Remcos RAT.
Remcos es una RAT comercial muy conocida que los ciberdelincuentes suelen utilizar en sus ataques contra empresas y organizaciones.
El shellcode cuenta con capacidades de esteganografía (ocultar mensajes dentro de mensajes).
Y usa interfaces COM de Windows para una ejecución silenciosa.
Estas características indican además que es un software complejo y bien diseñado.
Por su parte, Sergey Lozhkin, analista principal de seguridad en GReAT de Kaspersky, se refirió al respecto.
“El interés de los ciberdelincuentes por las criptomonedas crece al ritmo que lo hacen estos criptoactivos entre la sociedad”.
“El grupo que está detrás de DoubleFinger y GreetingGhoul es muy hábil al desarrollar software delictivo”.
“Que en este caso es muy similar a las amenazas persistentes avanzadas (APT)”.
Fuente: Investing
