C’est ainsi que fonctionne le «malware» multi-phase DoubleFinger, qui vole des crypto-monnaies en Europe, aux États-Unis et en Amérique latine

MADRID, 16 juin (Portaltic/EP) –

Un groupe de chercheurs a découvert un campagne d’attaques contre les portefeuilles de crypto-monnaie en Europe, aux États-Unis et en Amérique latine, qui agit à travers le ‘malware’ multifase DoubleFinger, qui déploie le voleur de crypto-monnaie GreetingGhoul et le cheval de Troie Remcos.

Actuellement, l’intérêt des cybercriminels pour les crypto-monnaies se développe à un rythme rapide, et dans ce cas, des acteurs malveillants sont venus pour développer des logiciels criminels très semblable à menaces persistantes avancées (APT) pour accéder à ces ressources.

C’est une campagne utilise un ‘logiciel’ complexe de haut niveau technique basé sur une exécution en plusieurs phasesqui reçoit le nom de DoubleDoigt. Cette campagne a été lancée dans le but de voler des identifiants de crypto-monnaie aux utilisateurs des pays européens et d’Amérique latine, ainsi qu’aux États-Unis, comme l’a détaillé un groupe de chercheurs de Kaspersky.

En ce sens, selon l’enquête menée par la société de cybersécurité, il s’agit d’une attaque qui déploie, d’une part, le voleur de crypto-monnaie GreetingGhoul et, d’autre part, la cheval de Troie d’accès à distance (RAT) Remcos.

L’attaque est déclenchée lorsqu’un utilisateur ouvre sans le savoir un fichier malveillant avec extension PIF, qu’il peut être joint à un courriel et qu’il s’agit d’un document d’information sur le programme. C’est-à-dire qu’il contient les informations nécessaires au système d’exploitation Windows pour exécuter son contenu.

Une fois ce « logiciel » malveillant ouvert, le première phase d’attaquequi utilise un DLL binaire Windowsil s’agit d’une bibliothèque qui contient du code et des données, mais modifié pour exécuter un ‘shellcode’.

Ce ‘shellcode’, qui est le code utilisé pour exécuter une activité malveillante sur l’ordinateur de la victime, télécharger une image PNG qui inclut une charge utile malveillante, qui est lancée dans une phase ultérieure du processus.

À ce stade, comme Kaspersky l’a appris, DoubleFinger se connecte à cinq phases de programmation GreetingGhoulparvenant ainsi à activer son utilisation tous les jours à une heure précise sur l’appareil de la victime.

Ainsi, avec GreetingGhoul opérationnel, procéder au vol des identifiants de crypto-monnaie utilisant deux composants. D’un côté MS WebView2qui est basé sur la créer des superpositions dans les interfaces de portefeuille de crypto-monnaie de la victime. Deuxièmement, un service qui vole des informations confidentielles, c’est-à-dire les clés ou phrases de récupération du mot de passe. Avec tout cela, les cybercriminels accèdent aux crypto-monnaies.

De plus, Kaspersky a détaillé que les cybercriminels utilisent également DoubleFinger pour déployer le Cheval de Troie d’accès à distance Remcos RAT, dont les acteurs malveillants qu’ils utilisent généralement pour leurs attaques contre les entreprises et les organisations.

Plus précisément, le ‘shellcode’ de ce cheval de Troie a capacités de stéganographie -la possibilité de cacher des messages dans des messages- et utilise les interfaces Windows COM d’effectuer une exécution silencieuse, sa détection devient alors plus complexe.

PROTECTION DES CRYPTOMONNAIES

Comme l’explique le principal analyste en sécurité du GReAT de Kaspersky, Sergey Lozhkin, qui appartient au groupe de chercheurs qui a découvert cette nouvelle menace DoubleFinger, la protection contre ce type d’attaque des portefeuilles cryptographiques “est la responsabilité des fournisseurs de portefeuillesenfin personnages et la communauté de crypto-monnaie en général”.

Sur cette base, il a averti que si les utilisateurs sont “alertes, informés et que des mesures de sécurité solides sont mises en œuvre”, les utilisateurs peuvent parvenir à atténuer ces “précieux actifs numériques”.

Dans ce cadre, Kaspersky a fourni quelques recommandations afin de protéger les actifs cryptographiques. Tout d’abord, il a mis en évidence l’importance de acheter des portefeuilles uniquement auprès de sources officielles et, en plus, il a souligné qu’avec les «portefeuilles matériels», il ne sera jamais nécessaire d’entrer la phrase de départ dans l’ordinateur.

En cas d’achat d’un “portefeuille matériel”, les utilisateurs doivent également Vérifiez qu’il n’a pas été altéré. En effet, toute trace de colle, rayure ou composant étranger pourrait indiquer qu’il a été manipulé précédemment. Une autre mesure à prendre en compte est vérifier le ‘micrologiciel’en plus d’implémenter des mots de passe difficiles à déchiffrer.