Введение
Кражу криптовалют нельзя назвать новой угрозой. Еще в начале 2010-х годов криптобиржа Mt. Gox и потеряла сотни тысяч биткоинов. За биткоин-кошельками охотились и создатели шифровальщиков, таких как . Сегодня криптовалюты продолжают оставаться лакомым кусочком для киберпреступников.Одна из последних разработок злоумышленников в этой области — многоэтапный загрузчик DoubleFinger для доставки криптовалютного стилера. Он попадает на целевой компьютер через вредоносное PIF-вложение в электронном письме. Когда пользователь открывает вложение, выполняется первый этап загрузчика.
Первый этап DoubleFinger
Первый этап — модифицированный файл espexe.exe (Microsoft Windows Economical Service Provider Application). В нем функция DialogFunc переписана так, чтобы запускался вредоносный шелл-код. После того как добавленные в нее API-функции разрешаются по хешу, шелл-код загружает PNG-файл с веб-сайта Imgur.com. Затем он находит в загруженном изображении константу (0xea79a5c6) указывающую на данные с зашифрованной полезной нагрузкой.Зашифрованная полезная нагрузка состоит из следующих файлов:
- PNG-файл с полезной нагрузкой четвертого этапа;
- зашифрованный блок данных;
- легитимный исполняемый файл java.exe, используемый для загрузки вредоносной DLL (DLL sideloading);
- второй этап загрузчика DoubleFinger.
Второй этап DoubleFinger
Для загрузки шелл-кода второго этапа выполняется легитимное приложение java.exe, которое находится в той же папке, что и шелл-код второго этапа (файл называется msvcr100.dll). Этот файл модифицирован, как и загрузчик первого этапа, у него похожая структура и функциональность.Шелл-код ожидаемо загружает, расшифровывает и выполняет шелл-код третьего этапа.
Третий этап DoubleFinger
Шелл-код третьего этапа значительно отличается от первого и второго этапов. Например, он использует низкоуровневые вызовы Windows API, а также загружает и помещает в память процесса файл ntdll.dll, чтобы обойти хуки защитных решений.Следующий шаг — расшифровка и выполнение полезной нагрузки четвертого этапа, которая находится в упомянутом выше PNG-файле. Этот PNG-файл, в отличие от загружаемого на первом этапе, содержит настоящее изображение. Однако в нем использован довольно простой метод стеганографии, при котором данные извлекаются из конкретных смещений.
Файл aa.png с внедренной полезной нагрузкой четвертого этапа
Четвертый этап DoubleFinger
На четвертом этапе используется простой шелл-код. Он содержит полезную нагрузку пятого этапа и использует технику
для ее выполнения.
Пятый этап DoubleFinger
Зловред пятого этапа создает запланированную задачу, которая ежедневно запускает стилер GreetingGhoul в определенное время. Затем он загружает еще один PNG-файл (зашифрованный исполняемый файл GreetingGhoul с валидным заголовком PNG), расшифровывает и выполняет его.
GreetingGhoul и Remcos
GreetingGhoul — стилер, который ворует учетные данные для криптовалютных операций.Он состоит из двух основных компонентов, работающих в связке:
- Первый компонент создает поддельные окна поверх интерфейса криптовалютных кошельков с помощью Microsoft WebView2.
- Второй компонент ищет приложения криптовалютных кошельков и крадет конфиденциальные данные (например, сид-фразы).
Примеры поддельных окон
В случае с аппаратными кошельками, пользователю не нужно вводить сид-фразу на компьютере. Вендоры никогда не запрашивают ее на своих ресурсах.
Вместе с GreetingGhoul мы нашли несколько образцов DoubleFinger, загружающих RAT-троянец Remcos. Remcos — известный коммерческий инструмент для удаленного администрирования, который часто используют киберпреступники. Мы наблюдали его использование в целевых атаках на различные организации.
Жертвы и атрибуция
В коде зловреда мы нашли несколько текстовых фрагментов на русском языке. URL-адрес командного сервера начинается со слова «Privetsvoyu» — русское слово «Приветствую» в искаженной транслитерации. Кроме того, мы нашли строку «salamvsembratyamyazadehayustutlokeretodlyagadovveubilinashusferu». Это фраза на русском языке «Салам всем братьям, я задыхаюсь тут, локер — это для гадов, вы убили нашу сферу», тоже в искаженной транслитерацииЖертв кампании мы нашли в Европе, США и Латинской Америке. Это соответствует распространенному убеждению, что киберпреступники из стран СНГ не атакуют граждан России. Однако фрагментов текста на русском и списка жертв недостаточно, чтобы утверждать, что организаторы кампании находятся в одной из этих стран.
Заключение
Анализ загрузчика DoubleFinger и зловреда GreetingGhoul показывает, что их разработчики обладают продвинутыми техническими навыками и способны создавать вредоносное ПО на уровне APT-угроз. Многоэтапный загрузчик использует шелл-коды и стеганографию, обеспечивает скрытное исполнение с помощью COM-интерфейсов Windows и прибегает к технике Process Doppelgänging для внедрения в удаленные процессы — все это подтверждает проработанность и сложность атаки. Использование среды выполнения Microsoft WebView2 для создания поддельных интерфейсов криптовалютных кошельков — еще один продвинутый метод в этой атаке.Чтобы защитить себя от таких атак, изучайте отчеты об угрозах.
Индикаторы компрометации
DoubleFingerGreetingGhoul
C2
