Problemas em dobro: conheça o DoubleFinger, o ladrão de criptomoedas

As criptomoedas estão sob ataque de todos os tipos de esquemas criminosos – desde golpes mundanos de mineração de Bitcoin até grandiosos roubos de criptomoedas no valor de milhões de dólares.

Para os proprietários de criptomoedas, os perigos espreitam literalmente a cada passo. Recentemente, falamos sobre criptocarteiras falsas – que parecem e funcionam como as reais, mas acabam roubando todo o seu dinheiro. Agora, nossos especialistas descobriram uma nova ameaça: um ataque sofisticado usando o loader DoubleFinger, que traz consigo seus amigos na forma do ladrão de criptomoedas GreetingGhoul e do Trojan de acesso remoto Remcos. Mas vamos por partes…

Como o DoubleFinger instala o GreetingGhoul

Nossos especialistas observaram o alto nível técnico do ataque e sua natureza de vários estágios, pelo que se assemelha a um ataque de ameaça persistente avançada (APT, na sigla em inglês). Uma infecção DoubleFinger começa com um e-mail contendo um arquivo PIF malicioso. Assim que o destinatário abre o anexo, inicia-se uma cadeia de eventos, conforme a seguinte sequência:

Estágio 1. DoubleFinger executa um shellcode que baixa um arquivo em formato PNG da plataforma de compartilhamento de imagens Imgur.com. Mas não é realmente uma imagem: o arquivo contém vários componentes DoubleFinger em formato criptografado, que são usados ​​em estágios subsequentes do ataque. Isso inclui um loader para uso no segundo estágio do ataque, um arquivo java.exe legítimo e outro arquivo PNG a ser implantado posteriormente, na quarta etapa.

Estágio 2. O loader de segundo estágio do DoubleFinger é executado usando o arquivo java.exe legítimo mencionado acima, após o qual ele executa outro shellcode que baixa, descriptografa e inicia o terceiro estágio do DoubleFinger.

Estágio 3. Nesse estágio, o DoubleFinger realiza uma série de ações para driblar o software de segurança instalado no computador. Em seguida, o loader burla a criptografia e inicia o quarto estágio, que está contido no arquivo PNG mencionado no primeiro estágio. Aliás, este arquivo PNG contém não apenas o código malicioso, mas também a imagem que deu nome ao malware:

Os dois dedos que deram origem ao nome DoubleFinger

Estágio 4. Nesta etapa, o DoubleFinger inicia o quinto estágio usando uma técnica chamada “Processo Doppelgänging“, por meio da qual há a substituição do processo legítimo por um modificado que contém a carga útil do quinto estágio.

Estágio 5. Depois de todas as manipulações acima, o DoubleFinger começa a executar as ações para quais ele realmente foi projetado: carregar e descriptografar outro arquivo PNG – este contendo a carga útil final. Se trata do ladrão de criptomoedas GreetingGhoul, que invade o sistema e é programado no planejador de tarefas para rodar diariamente em um determinado horário.

Como o GreetingGhoul rouba criptocarteiras

Assim que o loader DoubleFinger termina seu trabalho, o GreetingGhoul entra em jogo. Este malware contém dois componentes complementares:

1. aquele que detecta aplicativos de criptocarteiras no sistema e rouba dados de interesse dos invasores (chaves privadas e frases-semente);
2. aquele que sobrepõe a interface dos aplicativos de criptomoeda e intercepta os dados de acesso do usuário.

Exemplo do GreetingGhoul sobrepondo a interface de aplicativos de criptocarteiras

Como resultado, os cibercriminosos por trás do DoubleFinger podem assumir o controle das carteiras de criptomoedas da vítima e roubar o montante investido.

Nossos especialistas encontraram várias modificações do DoubleFinger, algumas em que a cereja do bolo, instalam o Trojan de acesso remoto bastante popular (pelo menos nos círculos cibercriminosos) Remcos no sistema infectado. Seu propósito está explícito no nome – REMote COntrol & Surveillance. Em outras palavras, o Remcos permite que os golpitas observem todas as ações do usuário e assumam o controle total do sistema infectado.

Como proteger suas criptomoedas

As criptomoedas continuam a ser um ímã para os cibercriminosos, então todos os criptoinvestidores precisam pensar muito sobre segurança. Falando nisso, recomendamos a leitura de nosso post recente chamado “Proteja seus investimentos em criptoativos em 4 passos“. Mas aqui está um resumo dos pontos principais:

• Espere por golpes. O mundo das criptomoedas está cheio de criminosos de todos os tipos, portanto, analise constantemente o ambiente que está inserido em busca de armadilhas e sempre verifique tudo meticulosamente.
• Não coloque todos os ovos na mesma cesta. Use uma combinação de carteiras quentes (para transações correntes) e carteiras frias (para investimentos de longo prazo).
• Aprenda como os cibercriminosos podem atacar criptocarterias físicas.
• Compre de fontes oficiais: só compre carteiras de hardware de fontes oficiais e confiáveis, como o site do fabricante ou revendedores autorizados; isso serve para evitar a compra de uma criptocarteira falsa.
• Analise se há sinais de adulteração: antes de usar uma nova carteira de hardware, verifique se há sinais de adulteração, como arranhões, cola ou componentes incompatíveis.
• Verifique o firmware: sempre analise se o firmware na carteira de hardware é legítimo e atualizado. Isso pode ser feito verificando o site do fabricante para obter a versão mais recente.
• Nunca preencha sua seed – frase-semente – de recuperação de uma carteira de hardware em um computador. Um fornecedor de carteira de hardware fará essa solicitação.
• Proteja senhas, chaves e frases iniciais. Use senhas fortes e exclusivas, [KPM placeholder] armazene-as com segurança [/KPM placeholder] e, é claro, nunca forneça suas chaves privadas ou frases de recuperação a ninguém em nenhuma circunstância.
• Proteja-se. Certifique-se de instalar uma [Kaspersky Premium Crypto placeholder] proteção confiável [/Kaspersky Premium Crypto placeholder] em todos os dispositivos que você usa para gerenciar criptocarteiras.