Введение Кражу криптовалют нельзя назвать новой угрозой. Еще в начале 2010-х годов криптобиржа Mt. Gox подверглась взлому и потеряла сотни тысяч биткоинов. За биткоин-кошельками охотились и создатели шифровальщиков, таких как Coinvault. Сегодня криптовалюты продолжают оставаться лакомым кусочком для киберпреступников. Одна из последних разработок злоумышленников в этой области — многоэтапный загрузчик DoubleFinger для доставки криптовалютного ******а. Он попадает на целевой компьютер через вредоносное PIF-вложение в электронном письме. Когда пользователь открывает вложение, выполняется первый этап загрузчика. 1 Первый этап DoubleFinger Первый этап — модифицированный файл espexe.exe (Microsoft Windows Economical Service Provider Application). В нем функция DialogFunc переписана так, чтобы запускался вредоносный шелл-код. После того как добавленные в нее API-функции разрешаются по хешу, шелл-код загружает PNG-файл с веб-сайта Imgur.com. Затем он находит в загруженном изображении константу (0xea79a5c6) указывающую на данные с зашифрованной полезной нагрузкой. Подлинная функция DialogFunc (слева) и модифицированная функция с шелл-кодом (справа) Зашифрованная полезная нагрузка состоит из следующих файлов: PNG-файл с полезной нагрузкой четвертого этапа; зашифрованный блок данных; легитимный исполняемый файл java.exe, используемый для загрузки вредоносной DLL (DLL sideloading); второй этап загрузчика DoubleFinger. 2 Второй этап DoubleFinger Для загрузки шелл-кода второго этапа выполняется легитимное приложение java.exe, которое находится в той же папке, что и шелл-код второго этапа (файл называется msvcr100.dll). Этот файл модифицирован, как и загрузчик первого этапа, у него похожая структура и функциональность. Шелл-код ожидаемо загружает, расшифровывает и выполняет шелл-код третьего этапа. 3 Третий этап DoubleFinger Шелл-код третьего этапа значительно отличается от первого и второго этапов. Например, он использует низкоуровневые вызовы Windows API, а также загружает и помещает в память процесса файл ntdll.dll, чтобы обойти хуки защитных решений. Следующий шаг — расшифровка и выполнение полезной нагрузки четвертого этапа, которая находится в упомянутом выше PNG-файле. Этот PNG-файл, в отличие от загружаемого на первом этапе, содержит настоящее изображение. Однако в нем использован довольно простой метод стеганографии, при котором данные извлекаются из конкретных смещений. Файл aa.png с внедренной полезной нагрузкой четвертого этапа 4 Четвертый этап DoubleFinger На четвертом этапе используется простой шелл-код. Он содержит полезную нагрузку пятого этапа и использует технику Process Doppelgänging для ее выполнения. 5 Пятый этап DoubleFinger Зловред пятого этапа создает запланированную задачу, которая ежедневно запускает ****** GreetingGhoul в определенное время. Затем он загружает еще один PNG-файл (зашифрованный исполняемый файл GreetingGhoul с валидным заголовком PNG), расшифровывает и выполняет его. ▶ GreetingGhoul и Remcos GreetingGhoul — ******, который ворует учетные данные для криптовалютных операций. Он состоит из двух основных компонентов, работающих в связке: Первый компонент создает поддельные окна поверх интерфейса криптовалютных кошельков с помощью Microsoft WebView2. Второй компонент ищет приложения криптовалютных кошельков и крадет конфиденциальные данные (например, сид-фразы). Примеры поддельных окон В случае с аппаратными кошельками, пользователю не нужно вводить сид-фразу на компьютере. Вендоры никогда не запрашивают ее на своих ресурсах. Вместе с GreetingGhoul мы нашли несколько образцов DoubleFinger, загружающих RAT-троянец Remcos. Remcos — известный коммерческий инструмент для удаленного администрирования, который часто используют киберпреступники. Мы наблюдали его использование в целевых атаках на различные организации. Жертвы и атрибуция В коде зловреда мы нашли несколько текстовых фрагментов на русском языке. URL-адрес командного сервера начинается со слова «Privetsvoyu» — русское слово «Приветствую» в искаженной транслитерации. Кроме того, мы нашли строку «salamvsembratyamyazadehayustutlokeretodlyagadovveubilinashusferu». Это фраза на русском языке «Салам всем братьям, я задыхаюсь тут, локер — это для гадов, вы убили нашу сферу», тоже в искаженной транслитерации Жертв кампании мы нашли в Европе, США и Латинской Америке. Это соответствует распространенному убеждению, что киберпреступники из стран СНГ не атакуют граждан России. Однако фрагментов текста на русском и списка жертв недостаточно, чтобы утверждать, что организаторы кампании находятся в одной из этих стран. Заключение Анализ загрузчика DoubleFinger и зловреда GreetingGhoul показывает, что их разработчики обладают продвинутыми техническими навыками и способны создавать вредоносное ПО на уровне APT-угроз. Многоэтапный загрузчик использует шелл-коды и стеганографию, обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике Process Doppelgänging для внедрения в удаленные процессы — все это подтверждает проработанность и сложность атаки. Использование среды выполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков — еще один продвинутый метод в этой атаке. Чтобы защитить себя от таких атак, изучайте отчеты об угрозах. Индикаторы компрометации DoubleFinger a500d9518bfe0b0d1c7f77343cac68d8 dbd0cf87c085150eb0e4a40539390a9a 56acd988653c0e7c4a5f1302e6c3b1c0 16203abd150a709c0629a366393994ea d9130cb36f23edf90848ffd73bd4e0e0 GreetingGhoul 642f192372a4bd4fb3bfa5bae4f8644c a9a5f529bf530d0425e6f04cbe508f1e C2 cryptohedgefund[.]us Источник