Kaspersky lancia l’allarme: c’è il malware DoubleFinger in azione

Il malware quando attacca utilizza il loader DoubleFinger, un crimeware complesso e sofisticato.

malware

Allarme sull’azione del malware DoubleFinger. Scoperta da Kaspersky una nuova campagna di attacchi multi-stage ai criptowallet in Europa, Stati Uniti e America Latina. Questo attacco utilizza il loader DoubleFinger, un crimeware complesso che implementa il cryptocurrency stealer GreetingGhoul e il Remote Access Trojan (RAT) Remcos. L’analisi di Kaspersky evidenzia un alto livello di competenze e tecniche avanzate utilizzate dai cybercriminali in questo panorama delle minacce sempre in evoluzione.

Competenze e tecniche avanzate

Come dimostra l’indagine di Kaspersky, il loader multi-stage DoubleFinger dà inizio ai propri attacchi quando la vittima apre inavvertitamente un allegato PIF malevolo contenuto in un’email. Questa azione provoca l’esecuzione del primo livello del loader. Si tratta di un file binario DLL di Windows modificato, a cui segue l’esecuzione di uno shellcode malevolo. Essa scarica poi un’immagine PNG contenente un playload da lanciare successivamente durante l’attacco.

Kaspersky lancia l’allarme

In totale DoubleFinger richiede cinque livelli per poter realizzare un’operazione pianificata che prevede l’esecuzione dello GreetingGhoul quotidianamente a un’ora prestabilita. In seguito, scarica un altro file PNG, che viene decifrato ed eseguito. GreetingGhoul è uno stealer progettato per rubare le credenziali collegate alle criptovalute. È composto da due componenti. Il primo utilizza MS WebView2 per creare overlay sulle interfacce dei portafogli di criptovalute. Mentre il secondo è progettato per rilevare le app dei wallet di criptovalute e rubare informazioni sensibili, come chiavi, frasi di recupero e così via.

Come agisce lo stealer GreetingGhoul

Oltre allo stealer GreetingGhoul, Kaspersky ha trovato anche esempi di DoubleFinger che hanno scaricato Remcos RAT. Spesso usato dai cybercriminali per attacchi mirati ai danni di aziende e organizzazioni. Il loader multi-stage di tipo shellcode con funzionalità di steganografia, l’uso di interfacce COM di Windows per l’esecuzione nascosta. Oltre all’implementazione del doppelgänging dei processi per l’injection nei processi da remoto indicano un crimeware ben realizzato e complesso.

In crescita la popolarità delle criptovalute

Sergey Lozhkin, Lead Security Researcher del GReAT di Kaspersky
Con la continua crescita del valore e della popolarità delle criptovalute, aumenta anche l’interesse dei cybercriminali. Il gruppo responsabile del loader DoubleFinger e del malware GreetingGhoul si contraddistingue per essere un attore sofisticato con competenze avanzate nello sviluppo del crimeware. La sicurezza dei portafogli di criptovalute è una responsabilità condivisa tra i provider di wallet, i singoli utenti e l’intera community di criptovalute. Per mitigare i rischi e assicurare la protezione dei nostri asset digitali, è importante prestare sempre attenzione. Inoltre implementare misure di sicurezza efficaci ed essere informati sulle ultime minacce.

Come si proteggono gli investimenti

Per proteggere i propri investimenti in criptovalute, Kaspersky consiglia di:

  • Acquistare portafogli hardware solamente da fonti ufficiali e affidabili, come il sito del produttore o i rivenditori autorizzati. Nei portafogli hardware è importante non caricare mai il proprio seed di recuper sul computer, poiché nessun fornitore lo richiederà mai.
  • Prima di utilizzare il nuovo portafoglio hardware, è bene controllare che non siano presenti segni di manomissione come graffi, colla o componenti non corrispondenti.
  • Kaspersky lancia l’allarme:  malware DoubleFinger in azione
  • Verificare che il firmware sia legittimo e aggiornato, è possibile consultare il sito del produttore per conoscere qual è la versione più recente.
  • Proteggere e conservare in modo sicuro la frase di recupero per il proprio portafoglio hardware, con una soluzione di sicurezza affidabile come Kaspersky Premium.
  • Se il portafoglio hardware prevede una password, usarne una efficace e unica. Evitare di usare password facilmente indovinabili o di riutilizzare password di altri account.