DoubleFinge kriptovaluta-lopó
A Kaspersky ismerteti a DoubleFinger rosszindulatú kód működését és terjesztését. A DoubleFinger akkor kerül telepítésre, amikor az áldozat egy rosszindulatú PIF-mellékletet nyit meg egy e-mail üzenetben.
Az első szakasz egy módosított espexe.exe (MS Windows Economical Service Provider Application) fájl, ahol a DialogFunc módosítása miatt egy rosszindulatú shellkódot futtat az eszköz. A DialogFunc az új API-függvények feloldása után letölt egy PNG-képet az Imgur.com weboldalról. Ezután a shellcode megkeresi a letöltött képben található obfuszkált bájtokat (0xea79a5c6), és megkeresi a kártékony tartalmat a képben. Majd ezek után öt további lépésben letölti a teljes kártékony eszközkészletet.
A Kaspersky DoubleFinger loader és a GreetingGhoul malware-el kapcsolatos elemzése magas szintű kifinomultságot és készségeket tár fel a bűnügyi szoftverek fejlesztésében, hasonlóan a fejlett tartós fenyegetésekhez (APT). A többlépcsős, shellcode-stílusú betöltő steganográfiai képességekkel, a Windows COM interfészek használata a lopakodó végrehajtáshoz, valamint a Process Doppelgänging implementációja a távoli folyamatokba való befecskendezéshez, mind jól kidolgozott és összetett bűnügyi szoftverekre utalnak. A Microsoft WebView2 futtatókörnyezetének használata a kriptovaluta pénztárcák hamisított interfészeinek létrehozására tovább hangsúlyozza a rosszindulatú programok által alkalmazott fejlett technikákat.
A Kaspersky megosztotta az azonosításhoz szükséges mutatókat.