«Лаборатория Касперского»: криптокошельки подверглись сложной многоэтажной атаке
Эксперты «Лаборатории Касперского» обнаружили новую сложную многоступенчатую атаку на владельцев криптокошельков в Европе, США и Латинской Америке.
Проводящаяся с помощью троянца-загрузчика DoubleFinger атака начинается после того, как жертва открывает вредоносное вложение в формате PIF в электронной почте.
- Это действие запускает первый этап загрузчика DoubleFinger, внедряющего программу для кражи логинов и паролей от криптокошельков GreetingGhoul и троянец Remcos Remote Access Trojan (RAT), позволяющий осуществлять удалённое администрирование.
- Всего требуется пять этапов, чтобы создать задачу, которую затем GreetingGhoul выполняет ежедневно в определённое время.
- GreetingGhoul состоит из двух компонентов. Первый использует среду MS WebView2 для создания фальшивых окон, перекрывающих интерфейс настоящих криптокошельков и куда по невнимательности можно ввести cид-фразу. Второй ищет приложения с криптокошельками на устройстве.
- DoubleFinger использует шелл-коды и стеганографию, а также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике подмены легитимного процесса вредоносным для внедрения в удалённые процессы.
В коде зловреда обнаружены несколько текстовых фрагментов на русском языке. Например, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Этого недостаточно, чтобы утверждать, что за атаками стоят русскоговорящие.
Эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин заявил, что группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных целевых атак:
Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов.
«Лаборатория Касперского» для защиты криптоактивов от кибератак рекомендует покупать аппаратный кошелёк у официального производителя, проверяя перед покупкой следы взлома.
На таком кошельке должен быть сложный, уникальный пароль, обновления прошивки следует постоянно отслеживать, а устройства, при помощи которых кошелёк подключается к Сети, защищать средствами вроде Kaspersky Premium.
