Скрытный DoubleFinger охотится за вашей криптовалютой

Введение

Кражу криптовалют нельзя назвать новой угрозой. Еще в начале 2010-х годов криптобиржа Mt. Gox подверглась взлому и потеряла сотни тысяч биткоинов. За биткоин-кошельками охотились и создатели шифровальщиков, таких как Coinvault. Сегодня криптовалюты продолжают оставаться лакомым кусочком для киберпреступников.

Одна из последних разработок злоумышленников в этой области — многоэтапный загрузчик DoubleFinger для доставки криптовалютного ******а. Он попадает на целевой компьютер через вредоносное PIF-вложение в электронном письме. Когда пользователь открывает вложение, выполняется первый этап загрузчика.

1 Первый этап DoubleFinger

Первый этап — модифицированный файл espexe.exe (Microsoft Windows Economical Service Provider Application). В нем функция DialogFunc переписана так, чтобы запускался вредоносный шелл-код. После того как добавленные в нее API-функции разрешаются по хешу, шелл-код загружает PNG-файл с веб-сайта Imgur.com. Затем он находит в загруженном изображении константу (0xea79a5c6) указывающую на данные с зашифрованной полезной нагрузкой.


Подлинная функция DialogFunc (слева) и модифицированная функция с шелл-кодом (справа)

Зашифрованная полезная нагрузка состоит из следующих файлов:

1. PNG-файл с полезной нагрузкой четвертого этапа;
2. зашифрованный блок данных;
3. легитимный исполняемый файл java.exe, используемый для загрузки вредоносной DLL (DLL sideloading);
4. второй этап загрузчика DoubleFinger.

2 Второй этап DoubleFinger

Для загрузки шелл-кода второго этапа выполняется легитимное приложение java.exe, которое находится в той же папке, что и шелл-код второго этапа (файл называется msvcr100.dll). Этот файл модифицирован, как и загрузчик первого этапа, у него похожая структура и функциональность.

Шелл-код ожидаемо загружает, расшифровывает и выполняет шелл-код третьего этапа.

3 Третий этап DoubleFinger

Шелл-код третьего этапа значительно отличается от первого и второго этапов. Например, он использует низкоуровневые вызовы Windows API, а также загружает и помещает в память процесса файл ntdll.dll, чтобы обойти хуки защитных решений.

Следующий шаг — расшифровка и выполнение полезной нагрузки четвертого этапа, которая находится в упомянутом выше PNG-файле. Этот PNG-файл, в отличие от загружаемого на первом этапе, содержит настоящее изображение. Однако в нем использован довольно простой метод стеганографии, при котором данные извлекаются из конкретных смещений.


Файл aa.png с внедренной полезной нагрузкой четвертого этапа

4 Четвертый этап DoubleFinger

На четвертом этапе используется простой шелл-код. Он содержит полезную нагрузку пятого этапа и использует технику Process Doppelgänging для ее выполнения.

5 Пятый этап DoubleFinger

Зловред пятого этапа создает запланированную задачу, которая ежедневно запускает ****** GreetingGhoul в определенное время. Затем он загружает еще один PNG-файл (зашифрованный исполняемый файл GreetingGhoul с валидным заголовком PNG), расшифровывает и выполняет его.

▶ GreetingGhoul и Remcos

GreetingGhoul — ******, который ворует учетные данные для криптовалютных операций.

Он состоит из двух основных компонентов, работающих в связке:

1. Первый компонент создает поддельные окна поверх интерфейса криптовалютных кошельков с помощью Microsoft WebView2.
2. Второй компонент ищет приложения криптовалютных кошельков и крадет конфиденциальные данные (например, сид-фразы).

Примеры поддельных окон

В случае с аппаратными кошельками, пользователю не нужно вводить сид-фразу на компьютере. Вендоры никогда не запрашивают ее на своих ресурсах.

Вместе с GreetingGhoul мы нашли несколько образцов DoubleFinger, загружающих RAT-троянец Remcos. Remcos — известный коммерческий инструмент для удаленного администрирования, который часто используют киберпреступники. Мы наблюдали его использование в целевых атаках на различные организации.

Жертвы и атрибуция

В коде зловреда мы нашли несколько текстовых фрагментов на русском языке. URL-адрес командного сервера начинается со слова «Privetsvoyu» — русское слово «Приветствую» в искаженной транслитерации. Кроме того, мы нашли строку «salamvsembratyamyazadehayustutlokeretodlyagadovveubilinashusferu». Это фраза на русском языке «Салам всем братьям, я задыхаюсь тут, локер — это для гадов, вы убили нашу сферу», тоже в искаженной транслитерации

Жертв кампании мы нашли в Европе, США и Латинской Америке. Это соответствует распространенному убеждению, что киберпреступники из стран СНГ не атакуют граждан России. Однако фрагментов текста на русском и списка жертв недостаточно, чтобы утверждать, что организаторы кампании находятся в одной из этих стран.

Заключение

Анализ загрузчика DoubleFinger и зловреда GreetingGhoul показывает, что их разработчики обладают продвинутыми техническими навыками и способны создавать вредоносное ПО на уровне APT-угроз. Многоэтапный загрузчик использует шелл-коды и стеганографию, обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике Process Doppelgänging для внедрения в удаленные процессы — все это подтверждает проработанность и сложность атаки. Использование среды выполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков — еще один продвинутый метод в этой атаке.

Чтобы защитить себя от таких атак, изучайте отчеты об угрозах.

Индикаторы компрометации

DoubleFinger
a500d9518bfe0b0d1c7f77343cac68d8
dbd0cf87c085150eb0e4a40539390a9a
56acd988653c0e7c4a5f1302e6c3b1c0
16203abd150a709c0629a366393994ea
d9130cb36f23edf90848ffd73bd4e0e0

GreetingGhoul
642f192372a4bd4fb3bfa5bae4f8644c
a9a5f529bf530d0425e6f04cbe508f1e

C2
cryptohedgefund[.]us

Источник