გაუმჯობესებული მავნე პროგრამა DoubleFinger ნადირობს კრიპტოვალუტის საფულეებზე

გაზიარება

კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს ახალი საფრთხე, რომელიც იყენებს DoubleFinger downloader-ს კრიპტოსტილერ  GreetingGhoul -ის დასაყენებლად. მათი თქმით, ეს საფრთხე წააგავს Advanced PersistantThreat (APT) კატეგორიის დახვეწილ შეტევებს. DoubleFinger-ით  ინფიცირება იწყება ელ. ფოსტით, რომელიც შეიცავს მავნე PIF ფაილს. მას შემდეგ, რაც მომხმარებელი გახსნის ამ დანართს, ხდება  5-ეტაპისაგან შემდგარი მოვლენების განვითარება.

პირველში, ამტვირთავი DoubleFinger   ახორციელებს შელ-კოდს  რომელიც ჩამოტვირთავს PNG ფაილს სურათების გაზიარების სერვისიდან Imgur.com. სინამდვილეში, ეს საერთოდ არ არის სურათი: ფაილი შეიცავს რამდენიმე DoubleFinger კომპონენტს დაშიფრული ფორმით, რომლებიც გამოიყენება შეტევის შემდეგ ეტაპებზე. ეს მოიცავს თავდასხმის მეორე ეტაპის ჩამტვირთველს, ლეგიტიმურ java.exe ფაილს და სხვა PNG ფაილსაც, რომელიც მოგვიანებით, მეოთხე ეტაპზე იქნება გამოყენებული.

მეორე ეტაპზე „მეორე ეტაპის“ ჩამტვირთავი DoubleFinger  იხსნება ზემოაღნიშნული ლეგიტიმური java.exe ფაილის გამოყენებით, რის შემდეგაც ის ასევე ახორციელებს shellcode-ს, რომელიც ჩამოტვირთავს, შიფრავს და უშვებს  DoubleFinger-ის  „მესამე ეტაპს“.

მესამე ეტაპზე DoubleFinger ასრულებს მოქმედებების სერიას კომპიუტერზე დაინსტალირებული უსაფრთხოების გადაწყვეტის გვერდის ავლით. შემდეგი, ჩამტვირთავი გაშიფვრავს და იწყებს “მეოთხე ეტაპს”, რომელიც შედის პირველი ეტაპის აღწერაში ნახსენებ PNG ფაილში. სხვათა შორის, მავნე კოდის გარდა, ეს PNG ფაილი ასევე შეიცავს ორი თითის სურათს, რამაც ამ მავნე პროგრამას სახელი განაპირობა.

მეოთხე ეტაპზე DoubleFinger იწყებს “მეხუთე ეტაპის”  გაშვებას, სადაც იყენებს ტექნიკას  სახელწოდებით Process Doppelgänging,   —  ცვლის ლეგიტიმურ პროცესს მოდიფიცირებულით, რომელიც შეიცავს “სასარგებლო დატვირთვას” მეხუთე ეტაპისათვის, რომელშიც ზემოთ აღწერილი ყველა მანიპულაციის შემდეგ, DoubleFinger აკეთებს იმას, რისთვისაც ფაქტობრივად, ყველაფერი ეს დაიწყო: ის იტვირთება და შიფრავს შემდეგ PNG ფაილს, რომელიც შეიცავს ფინალურ  “სასარგებლო დატვირთვას”. ეს არის კრიპტოსტილერი GreetingGhoul cryptostealer, რომელიც ინსტალირდება  სისტემაში და იქმნება გრაფიკი დავალების განრიგში, რომლის მიხედვითაც GreetingGhoul უნდა ამოქმედდეს ყოველდღე, გარკვეულ დროს. ეს მავნე პროგრამა შეიცავს ორ დამატებით კომპონენტს: კომპონენტს, რომელიც ამოიცნობს კრიპტო საფულის აპლიკაციებს სისტემაში და იპარავს კრიმინალებისათვის  საინტერესო  მონაცემებს – პირად გასაღებებს და სიდ-ფრაზებს, ასევე კომპონენტს, რომელიც არღვევს კრიპტოვალუტის აპლიკაციების ინტერფეისს და მომხმარებლის მიერ შეყვანის ინფორმაციას.  ამ ქმედებების შედეგად, ის კრიმინალები, რომლებიც  DoubleFinger-ის უკან დგანან  ახორციელებენ  კონტროლს მსხვერპლის კრიპტო საფულეებზე და შეუძლიათ მათგან თანხის ამოღება.

„კასპერსკის ლაბორატორიის“  ექსპერტებმა აღმოაჩინეს DoubleFinger-ის რამდენიმე მოდიფიკაცია, რომელთაგან ზოგიერთი ინფიცირებულ სისტემაზე აყენებს დისტანციური წვდომის ტროას  Remcos-ს,  რომელიც საკმაოდ გავრცელებულია კიბერდანაშაულებრივ გარემოში. მისი გამოყენების მიზნებზე მისი სახელი მიგვითითებს  —  დისტანციური კონტროლი და ზედამხედველობა, ანუ დისტანციური მართვა და მეთვალყურეობა. სხვა სიტყვებით რომ ვთქვათ, Remcos-ის დახმარებით კიბერკრიმინალებს შეუძლიათ დააკვირდნენ მომხმარებლის ყველა მოქმედებას და მთლიანად გააკონტროლონ ინფიცირებული სისტემა.

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები მონიშნულია *