Ngày 13 tháng 6 năm 2023Ravie LakshmananPhần mềm tội phạm / Tiền điện tử
Một trình tải nhiều tầng mới lạ được gọi là DoubleFinger đã được quan sát thấy đang cung cấp một kẻ đánh cắp tiền điện tử có tên là GreetingGhoul trong một cuộc tấn công nâng cao nhắm vào người dùng ở Châu Âu, Hoa Kỳ và Châu Mỹ Latinh.
“DoubleFinger được triển khai trên máy mục tiêu, khi nạn nhân mở tệp đính kèm PIF độc hại trong email, cuối cùng sẽ thực thi giai đoạn đầu tiên trong các giai đoạn tải của DoubleFinger,” nhà nghiên cứu Sergey Lozhkin của Kaspersky cho biết trong một báo cáo hôm thứ Hai.
Điểm khởi đầu của các cuộc tấn công là một phiên bản sửa đổi của espexe.exe – đề cập đến ứng dụng Nhà cung cấp dịch vụ kinh tế của Microsoft Windows – được thiết kế để thực thi mã shell chịu trách nhiệm truy xuất tệp hình ảnh PNG từ dịch vụ lưu trữ hình ảnh Imgur.
Hình ảnh sử dụng thủ thuật lưu trữ thông tin mật để che giấu một tải trọng được mã hóa kích hoạt chuỗi thỏa hiệp bốn giai đoạn mà cuối cùng lên đến đỉnh điểm trong việc thực thi kẻ đánh cắp GreetingGhoul trên máy chủ bị nhiễm.
Một khía cạnh đáng chú ý của GreetingGhoul là việc sử dụng Microsoft Edge WebView2 để tạo các lớp phủ giả mạo trên các ví tiền điện tử hợp pháp để hút thông tin đăng nhập do người dùng cả tin nhập vào.
DoubleFinger, ngoài việc tung ra GreetingGhoul, còn bị phát hiện cung cấp Remcos RAT, một trojan thương mại đã được các tác nhân đe dọa sử dụng rộng rãi để tấn công các thực thể châu Âu và Ukraine trong những tháng gần đây.
Phân tích “cho thấy mức độ phức tạp và kỹ năng cao trong việc phát triển phần mềm tội phạm, giống như các mối đe dọa liên tục nâng cao (APT)”, Lozhkin lưu ý.
“Trình tải kiểu shellcode, nhiều giai đoạn với khả năng lưu trữ dữ liệu, việc sử dụng giao diện COM của Windows để thực thi lén lút và triển khai doppelgänging của quy trình để đưa vào các quy trình từ xa, tất cả đều chỉ ra phần mềm tội phạm được chế tạo tốt và phức tạp.”
