یک لودر چند مرحلهای جدید به نام DoubleFinger مشاهده شده است که یک دزد ارز دیجیتال به نام GreetingGhoul را در حمله پیشرفتهای که کاربران را در اروپا، ایالات متحده و آمریکای لاتین هدف قرار میدهد، تحویل میدهد.
سرگئی لوژکین، محقق کسپرسکی، در گزارشی روز دوشنبه گفت: «وقتی قربانی یک پیوست PIF مخرب را در یک پیام ایمیل باز میکند، دابل فینگر روی ماشین هدف مستقر میشود و در نهایت اولین مرحله بارگیری DoubleFinger را اجرا میکند».
نقطه شروع حملات یک نسخه اصلاح شده از espexe.exe است – که به برنامه Microsoft Windows Economical Service Provider اشاره دارد – که برای اجرای پوسته کد مسئول بازیابی فایل تصویر PNG از سرویس میزبانی تصویر Imgur مهندسی شده است.
این تصویر از ترفندهای استگانوگرافی برای پنهان کردن یک محموله رمزگذاری شده استفاده می کند که یک زنجیره سازش چهار مرحله ای را ایجاد می کند که در نهایت با اجرای دزد GreetingGhoul بر روی میزبان آلوده به اوج خود می رسد.
یکی از جنبه های قابل توجه GreetingGhoul استفاده آن از Microsoft Edge WebView2 برای ایجاد پوشش های تقلبی در بالای کیف پول های رمزنگاری قانونی برای برداشت وجوه از کاربران ناآگاه است. یکی دیگر از اجزای موجود در بدافزار، کلیدهای خصوصی و عبارات اولیه را ضبط می کند.
DoubleFinger، علاوه بر حذف GreetingGhoul، همچنین در حال ارائه Remcos RAT، یک تروجان تجاری است که به طور گسترده توسط عوامل تهدید برای حمله به نهادهای اروپایی و اوکراینی در ماههای اخیر استفاده شده است.
لوژکین خاطرنشان کرد: این تجزیه و تحلیل "سطح بالایی از پیچیدگی و مهارت در توسعه نرم افزارهای جنایی، شبیه به تهدیدات پایدار پیشرفته (APT) را نشان می دهد.
لودر چند مرحلهای به سبک پوسته با قابلیتهای استگانوگرافی، استفاده از رابطهای Windows COM برای اجرای مخفیانه، و پیادهسازی فرآیند doppelgänging برای تزریق در فرآیندهای راه دور، همگی به یک نرمافزار جرمافزاری به خوبی ساخته شده و پیچیده اشاره میکنند.
سرگئی لوژکین، محقق کسپرسکی، در گزارشی روز دوشنبه گفت: «وقتی قربانی یک پیوست PIF مخرب را در یک پیام ایمیل باز میکند، دابل فینگر روی ماشین هدف مستقر میشود و در نهایت اولین مرحله بارگیری DoubleFinger را اجرا میکند».
نقطه شروع حملات یک نسخه اصلاح شده از espexe.exe است – که به برنامه Microsoft Windows Economical Service Provider اشاره دارد – که برای اجرای پوسته کد مسئول بازیابی فایل تصویر PNG از سرویس میزبانی تصویر Imgur مهندسی شده است.
این تصویر از ترفندهای استگانوگرافی برای پنهان کردن یک محموله رمزگذاری شده استفاده می کند که یک زنجیره سازش چهار مرحله ای را ایجاد می کند که در نهایت با اجرای دزد GreetingGhoul بر روی میزبان آلوده به اوج خود می رسد.
یکی از جنبه های قابل توجه GreetingGhoul استفاده آن از Microsoft Edge WebView2 برای ایجاد پوشش های تقلبی در بالای کیف پول های رمزنگاری قانونی برای برداشت وجوه از کاربران ناآگاه است. یکی دیگر از اجزای موجود در بدافزار، کلیدهای خصوصی و عبارات اولیه را ضبط می کند.
DoubleFinger، علاوه بر حذف GreetingGhoul، همچنین در حال ارائه Remcos RAT، یک تروجان تجاری است که به طور گسترده توسط عوامل تهدید برای حمله به نهادهای اروپایی و اوکراینی در ماههای اخیر استفاده شده است.
لوژکین خاطرنشان کرد: این تجزیه و تحلیل "سطح بالایی از پیچیدگی و مهارت در توسعه نرم افزارهای جنایی، شبیه به تهدیدات پایدار پیشرفته (APT) را نشان می دهد.
لودر چند مرحلهای به سبک پوسته با قابلیتهای استگانوگرافی، استفاده از رابطهای Windows COM برای اجرای مخفیانه، و پیادهسازی فرآیند doppelgänging برای تزریق در فرآیندهای راه دور، همگی به یک نرمافزار جرمافزاری به خوبی ساخته شده و پیچیده اشاره میکنند.