Исследователи Kaspersky делятся информацией о многоступенчатой атаке загрузчика DoubleFinger, доставляющего криптовалютную кражу GreetingGhoul и Remcos RAT.
DoubleFinger - это многоступенчатый загрузчик, доставляющий криптовалютную кражу. DoubleFinger внедряется на целевую машину, когда жертва открывает вредоносное вложение PIF в сообщении электронной почты, в результате чего выполняется первый из этапов загрузчика DoubleFinger.
Анализ загрузчика DoubleFinger и вредоносной программы GreetingGhoul, проведенный Касперским, показывает высокий уровень сложности и мастерства в разработке криминального ПО, схожий с продвинутыми постоянными угрозами (APT). Многоступенчатый загрузчик в стиле shellcode со стеганографическими возможностями, использование COM-интерфейсов Windows для скрытного выполнения, а также реализация Process Doppelgänging для внедрения в удаленные процессы - все это указывает на хорошо продуманное и сложное криминалистическое ПО. Использование среды исполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков еще раз подчеркивает передовые методы, применяемые вредоносной программой.
Indicators of Compromise
Domains
- cryptohedgefund.us
MD5
- 16203abd150a709c0629a366393994ea
- 56acd988653c0e7c4a5f1302e6c3b1c0
- 642f192372a4bd4fb3bfa5bae4f8644c
- a500d9518bfe0b0d1c7f77343cac68d8
- a9a5f529bf530d0425e6f04cbe508f1e
- d9130cb36f23edf90848ffd73bd4e0e0
- dbd0cf87c085150eb0e4a40539390a9a
