Статья Скрытный DoubleFinger охотится за вашей криптовалютой

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.619
Репутация
11.595
Реакции
61.532
RUB
50

Введение​

Кражу криптовалют нельзя назвать новой угрозой. Еще в начале 2010-х годов криптобиржа Mt. Gox и потеряла сотни тысяч биткоинов. За биткоин-кошельками охотились и создатели шифровальщиков, таких как . Сегодня криптовалюты продолжают оставаться лакомым кусочком для киберпреступников.

Одна из последних разработок злоумышленников в этой области — многоэтапный загрузчик DoubleFinger для доставки криптовалютного стилера. Он попадает на целевой компьютер через вредоносное PIF-вложение в электронном письме. Когда пользователь открывает вложение, выполняется первый этап загрузчика.

1️⃣ Первый этап DoubleFinger​

Первый этап — модифицированный файл espexe.exe (Microsoft Windows Economical Service Provider Application). В нем функция DialogFunc переписана так, чтобы запускался вредоносный шелл-код. После того как добавленные в нее API-функции разрешаются по хешу, шелл-код загружает PNG-файл с веб-сайта Imgur.com. Затем он находит в загруженном изображении константу (0xea79a5c6) указывающую на данные с зашифрованной полезной нагрузкой.

Подлинная функция DialogFunc (слева) и модифицированная функция с шелл-кодом (справа)

Зашифрованная полезная нагрузка состоит из следующих файлов:

  1. PNG-файл с полезной нагрузкой четвертого этапа;
  2. зашифрованный блок данных;
  3. легитимный исполняемый файл java.exe, используемый для загрузки вредоносной DLL (DLL sideloading);
  4. второй этап загрузчика DoubleFinger.

2️⃣ Второй этап DoubleFinger​

Для загрузки шелл-кода второго этапа выполняется легитимное приложение java.exe, которое находится в той же папке, что и шелл-код второго этапа (файл называется msvcr100.dll). Этот файл модифицирован, как и загрузчик первого этапа, у него похожая структура и функциональность.

Шелл-код ожидаемо загружает, расшифровывает и выполняет шелл-код третьего этапа.

3️⃣ Третий этап DoubleFinger​

Шелл-код третьего этапа значительно отличается от первого и второго этапов. Например, он использует низкоуровневые вызовы Windows API, а также загружает и помещает в память процесса файл ntdll.dll, чтобы обойти хуки защитных решений.

Следующий шаг — расшифровка и выполнение полезной нагрузки четвертого этапа, которая находится в упомянутом выше PNG-файле. Этот PNG-файл, в отличие от загружаемого на первом этапе, содержит настоящее изображение. Однако в нем использован довольно простой метод стеганографии, при котором данные извлекаются из конкретных смещений.


Файл aa.png с внедренной полезной нагрузкой четвертого этапа

4️⃣ Четвертый этап DoubleFinger​

На четвертом этапе используется простой шелл-код. Он содержит полезную нагрузку пятого этапа и использует технику для ее выполнения.

5️⃣ Пятый этап DoubleFinger​

Зловред пятого этапа создает запланированную задачу, которая ежедневно запускает стилер GreetingGhoul в определенное время. Затем он загружает еще один PNG-файл (зашифрованный исполняемый файл GreetingGhoul с валидным заголовком PNG), расшифровывает и выполняет его.

▶️ GreetingGhoul и Remcos​

GreetingGhoul — стилер, который ворует учетные данные для криптовалютных операций.

Он состоит из двух основных компонентов, работающих в связке:

  1. Первый компонент создает поддельные окна поверх интерфейса криптовалютных кошельков с помощью Microsoft WebView2.
  2. Второй компонент ищет приложения криптовалютных кошельков и крадет конфиденциальные данные (например, сид-фразы).



Примеры поддельных окон

В случае с аппаратными кошельками, пользователю не нужно вводить сид-фразу на компьютере. Вендоры никогда не запрашивают ее на своих ресурсах.

Вместе с GreetingGhoul мы нашли несколько образцов DoubleFinger, загружающих RAT-троянец Remcos. Remcos — известный коммерческий инструмент для удаленного администрирования, который часто используют киберпреступники. Мы наблюдали его использование в целевых атаках на различные организации.

Жертвы и атрибуция​

В коде зловреда мы нашли несколько текстовых фрагментов на русском языке. URL-адрес командного сервера начинается со слова «Privetsvoyu» — русское слово «Приветствую» в искаженной транслитерации. Кроме того, мы нашли строку «salamvsembratyamyazadehayustutlokeretodlyagadovveubilinashusferu». Это фраза на русском языке «Салам всем братьям, я задыхаюсь тут, локер — это для гадов, вы убили нашу сферу», тоже в искаженной транслитерации

Жертв кампании мы нашли в Европе, США и Латинской Америке. Это соответствует распространенному убеждению, что киберпреступники из стран СНГ не атакуют граждан России. Однако фрагментов текста на русском и списка жертв недостаточно, чтобы утверждать, что организаторы кампании находятся в одной из этих стран.

Заключение​

Анализ загрузчика DoubleFinger и зловреда GreetingGhoul показывает, что их разработчики обладают продвинутыми техническими навыками и способны создавать вредоносное ПО на уровне APT-угроз. Многоэтапный загрузчик использует шелл-коды и стеганографию, обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике Process Doppelgänging для внедрения в удаленные процессы — все это подтверждает проработанность и сложность атаки. Использование среды выполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков — еще один продвинутый метод в этой атаке.

Чтобы защитить себя от таких атак, изучайте отчеты об угрозах.

Индикаторы компрометации​

DoubleFinger






GreetingGhoul



C2


 
  • Теги
    doublefinger greetingghoul кража криптовалюты
  • Сверху Снизу