卡巴斯基发现了一场新的复杂的多阶段攻击活动,攻击目标是欧洲、美国和拉丁美洲的加密钱包。这场攻击涉及DoubleFinger Loader,这是一个复杂的犯罪软件,会在被攻击计算机上部署GreetingGhoul加密货币窃取器和Remcos远程访问木马(RAT)。卡巴斯基的分析强调了网络罪犯在这个不断变化的威胁环境中采用的先进技术和高水平技能。
正如卡巴斯基的调查所显示的那样,当受害者无意中打开电子邮件中的恶意PIF附件时,多阶段DoubleFinger加载程序就会发起攻击。
带有嵌入式shellcode的.png文件
总而言之,DoubleFinger需要五个阶段才能创建一个计划任务,该任务每天在特定时间执行GreetingGhoul窃取器。然后,它会下载另一个 PNG 文件,对其进行解密,然后执行它。GreetingGhoul是一个用来窃取加密货币相关凭证的窃取器,由两个组件组成:第一个组件使用MS WebView2在加密货币钱包接口上创建覆盖,第二个组件旨在检测加密货币钱包应用程序并窃取敏感信息,如密钥、恢复短语等。
假冒窗口示例
除了GreetingGhoul窃取器之外,卡巴斯基还发现有的DoubleFinger样本会下载Remcos远程访问工具(RAT)。Remcos是一种著名的商业RAT,经常被网络罪犯用于针对企业和组织的有针对性的攻击。这次攻击使用了多阶段shellcode形式的加载器,而且具有隐写功能,还使用了Windows的COM接口进行隐蔽执行以及实现进程分身以注入远程进程,所有这些迹象都表明这是一个精心设计的复杂犯罪软件。
“随着加密货币的价值和受欢迎程度不断提高,网络罪犯对其的兴趣也在不断增加。DoubleFinger Loader和GreetingGhoul恶意软件背后的团队是一个老练的威胁行为者,在犯罪软件开发方面具有很高的技能,类似于高级持续性威胁。保护加密钱包是钱包提供商、个人和更广泛的加密货币社区之间的共同责任。此外,通过保持警惕、实施强大的安全措施并随时了解最新威胁,我们可以降低风险并确保我们宝贵的数字资产的安全,”卡巴斯基全球研究与分析团队(GReAT)首席安全研究员Sergey Lozhkin表示。
想要了解更多有关DoubleFinger攻击行动的详情,请访问Securelist.
为了确保数字资产的安全,卡巴斯基专家还建议:
· 从官方来源购买:只从官方和可信来源购买硬件钱包,如制造商的网站或授权经销商。使用硬件钱包,不要在计算机上存储恢复种子。硬件钱包供应商绝对不会要求你这样做。
· 检查是否有篡改迹象:在使用新的硬件钱包之前,检查它是否有任何篡改迹象,如划痕、胶水或不匹配的组件。
· 验证固件:始终验证硬件钱包上的固件是否合法且是最新的。这可以通过检查制造商的网站上的最新版本来完成。
· 确保您的种子短语安全:设置硬件钱包时,请确保写下并安全存储您的种子短语。一款可靠的安全解决方案(例如卡巴斯基Premium)可保护您存储在手机或计算机上的加密货币信息安全。
使用高强度密码:如果您的硬件钱包支持使用密码,请使用高强度且唯一的密码。避免使用容易猜测的密码或重复使用其他账户的密码。