Il team di ricerca di Kaspersky ha recentemente identificato una complessa campagna di attacchi ai criptowallet mirata in Europa, Stati Uniti e America Latina: questa sofisticata minaccia sfrutta un loader chiamato DoubleFinger, che implementa diverse tecniche avanzate per compromettere la sicurezza dei portafogli digitali.
Indice degli argomenti
Il malware DoubleFinger mira ai criptowallet
Un recente comunicato stampa di Kaspersky ha svelato infatti la campagna e il gruppo responsabile, che mostra un alto livello di competenze e tecniche avanzate, utilizza un loader multi-stage chiamato DoubleFinger, il quale implementa il cryptocurrency stealer GreetingGhoul e il Remote Access Trojan (RAT) Remcos.
Secondo l’indagine condotta da Kaspersky, l’attacco inizia quando la vittima apre accidentalmente un allegato PIF malevolo contenuto in una e-mail. Questa azione scatena l’esecuzione del primo livello del loader: un file binario DLL “msvcr100.dll” di Windows modificato, seguito dall’esecuzione di uno shellcode malevolo. Successivamente, viene scaricata un’immagine PNG contenente un payload da lanciare durante l’attacco (esempio di immagine con stage 4).
Il loader DoubleFinger “espexe.exe” richiede in totale cinque livelli per completare l’operazione pianificata, che prevede l’esecuzione giornaliera di GreetingGhoul a un’ora prestabilita. Successivamente, viene scaricato un altro file PNG, che viene decifrato ed eseguito.
GreetingGhoul è uno stealer progettato per rubare le credenziali collegate alle criptovalute e comprende due componenti: il primo utilizza MS WebView2 per creare overlay sulle interfacce dei portafogli di criptovalute, mentre il secondo è progettato per individuare le app dei wallet di criptovalute e sottrarre informazioni sensibili, come chiavi e frasi di recupero.
Oltre a GreetingGhoul, gli esperti di Kaspersky hanno anche individuato esempi di DoubleFinger che hanno scaricato Remcos RAT, comunemente utilizzato dai cyber criminali per attacchi mirati alle aziende e alle organizzazioni.
Le caratteristiche complesse di questo loader multi-stage, come lo shellcode con funzionalità di steganografia, l’uso di interfacce COM di Windows per l’esecuzione nascosta e l’implementazione del doppelgänging dei processi per l’injection remota, dimostrano la sofisticazione di questo crimeware.
Necessario implementare misure di sicurezza efficaci
Sergey Lozhkin, Lead Security Researcher del GReAT di Kaspersky, ha sottolineato: “Con la crescente popolarità e valore delle criptovalute, anche l’interesse dei cybercriminali sta aumentando. Il gruppo responsabile del loader DoubleFinger e del malware GreetingGhoul si distingue per le sue competenze avanzate nello sviluppo del crimeware, simili alle advanced persistent threat. La sicurezza dei portafogli di criptovalute è una responsabilità condivisa tra i fornitori di wallet, gli utenti e l’intera comunità delle criptovalute. È fondamentale prestare sempre attenzione, implementare misure di sicurezza efficaci ed essere informati sulle ultime minacce per mitigare i rischi e garantire la protezione dei nostri asset digitali”.
In un panorama delle minacce in costante evoluzione, è importante che le organizzazioni e gli utenti adottino solide misure di sicurezza per proteggere i propri criptowallet.
La consapevolezza delle tattiche utilizzate dai cybercriminali e l’implementazione di soluzioni di sicurezza affidabili possono contribuire a ridurre il rischio di compromissione e furto di criptovalute.
Tra queste ricordiamo con certezza di affidare le proprie valute ad wallet hardware, quest’ultimo va però scelto con cura e da fornitori affidabili.
Così come prestare attenzione appena prima di renderlo operativo, dopo averlo acquistato e, al minimo segno di manomissione, evitare di portare a termine l’installazione.
Verificarne la versione del firmware e controllare che sia in linea con quella ufficiale della casa madre.
