«Лаборатория Касперского»: криптокошельки подверглись сложной многоэтажной атаке

Эксперты «Лаборатории Касперского» обнаружили новую сложную многоступенчатую атаку на владельцев криптокошельков в Европе, США и Латинской Америке.

Проводящаяся с помощью троянца-загрузчика DoubleFinger атака начинается после того, как жертва открывает вредоносное вложение в формате PIF в электронной почте.

• Это действие запускает первый этап загрузчика DoubleFinger, внедряющего программу для кражи логинов и паролей от криптокошельков GreetingGhoul и троянец Remcos Remote Access Trojan (RAT), позволяющий осуществлять удалённое администрирование.

• Всего требуется пять этапов, чтобы создать задачу, которую затем GreetingGhoul выполняет ежедневно в определённое время.

• GreetingGhoul состоит из двух компонентов. Первый использует среду MS WebView2 для создания фальшивых окон, перекрывающих интерфейс настоящих криптокошельков и куда по невнимательности можно ввести cид-фразу. Второй ищет приложения с криптокошельками на устройстве.

• DoubleFinger использует шелл-коды и стеганографию, а также обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике подмены легитимного процесса вредоносным для внедрения в удалённые процессы.

В коде зловреда обнаружены несколько текстовых фрагментов на русском языке. Например, URL-адрес командного сервера начинается с русского слова в искажённой транслитерации «Privetsvoyu». Этого недостаточно, чтобы утверждать, что за атаками стоят русскоговорящие.

Эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин заявил, что группа, стоящая за загрузчиком DoubleFinger и вредоносным ПО GreetingGhoul, способна создавать вредоносное ПО уровня тщательно продуманных целевых атак:

Защита криптовалютных кошельков — это общая ответственность их производителей, владельцев и всего заинтересованного сообщества. Сохранение бдительности, применение надёжных мер защиты и понимание наиболее актуальных угроз позволит снизить риски и обеспечить безопасность ценных цифровых активов.

«Лаборатория Касперского» для защиты криптоактивов от кибератак рекомендует покупать аппаратный кошелёк у официального производителя, проверяя перед покупкой следы взлома.

На таком кошельке должен быть сложный, уникальный пароль, обновления прошивки следует постоянно отслеживать, а устройства, при помощи которых кошелёк подключается к Сети, защищать средствами вроде Kaspersky Premium.