il y a un malware DoubleFinger en action

Avertissement sur l’action du malware DoubleFinger. Une nouvelle campagne d’attaques en plusieurs étapes contre les cryptowallets en Europe, aux États-Unis et en Amérique latine a été découverte par Kaspersky. Cette attaque utilise le chargeur DoubleFinger, un crimeware complexe qui implémente le crypto-monnaie voleur GreetingGhoul et le cheval de Troie d’accès à distance (RAT) Remcos. L’analyse de Kaspersky met en évidence un haut niveau d’expertise et des techniques avancées utilisées par les cybercriminels dans ce paysage de menaces en constante évolution.

Compétences et techniques avancées

Comme le montre l’enquête de Kaspersky, le chargeur multi-étages DoubleFinger lance ses attaques lorsque la victime ouvre par inadvertance une pièce jointe PIF malveillante contenue dans un e-mail. Cette action provoque l’exécution du premier niveau du chargeur. Il s’agit d’un binaire DLL Windows modifié, suivi de l’exécution d’un shellcode malveillant. Il télécharge ensuite une image PNG contenant une charge de lecture à lancer plus tard dans l’attaque.

Kaspersky tire la sonnette d’alarme

Au total, DoubleFinger nécessite cinq niveaux afin de réaliser une opération programmée qui prévoit l’exécution de la GreetingGhoul tous les jours à une heure préétablie. Ensuite, il télécharge un autre fichier PNG, qui est déchiffré et exécuté. GreetingGhoul est un voleur conçu pour voler les informations d’identification liées à la crypto-monnaie. Il se compose de deux éléments. Le premier utilise MS WebView2 pour créer des superpositions sur les interfaces de portefeuille de crypto-monnaie. Alors que ce dernier est conçu pour détecter les applications de portefeuille de crypto-monnaie et voler des informations sensibles, telles que des clés, des phrases de récupération, etc.

Comment fonctionne le voleur de GreetingGhoul

En plus du voleur GreetingGhoul, Kaspersky a également trouvé des exemples de DoubleFinger qu’ils ont téléchargés Remcos RAT. Souvent utilisé par les cybercriminels pour des attaques ciblées contre des entreprises et des organisations. Le chargeur multi-étapes de type shellcode avec des capacités de stéganographie, l’utilisation d’interfaces Windows COM pour une exécution cachée. En plus de la mise en œuvre de processus doppelgänging pour l’injection de processus à distance, ils pointent vers des logiciels criminels bien conçus et complexes.

La popularité des crypto-monnaies ne cesse de croître

Sergey Lozhkin, chercheur principal en sécurité chez GReAT de Kaspersky
Alors que la valeur et la popularité des crypto-monnaies continuent de croître, l’intérêt des cybercriminels augmente également. Le groupe responsable du chargeur DoubleFinger et du malware GreetingGhoul ne distingue être un acteur sophistiqué avec des compétences avancées dans le développement de logiciels criminels. La sécurité des portefeuilles de crypto-monnaie est une responsabilité partagée entre les fournisseurs de portefeuille, les utilisateurs individuels et l’ensemble de la communauté des crypto-monnaies. Pour atténuer les risques et assurer la protection de nos actifs numériques, il est important de toujours faire attention. Mettez également en place des mesures de sécurité efficaces et soyez informé des dernières menaces.

Comment les investissements sont protégés

Pour protéger vos investissements en crypto-monnaie, Kaspersky recommande :

• Acquérir portefeuilles matériels uniquement auprès de sources officielles et fiables, telles que le site Web du fabricant ou des revendeurs agréés. Dans les portefeuilles matériels, il est important de ne jamais télécharger votre graine de récupération sur votre ordinateur, car aucun fournisseur ne l’exigera jamais.
• Prima avant d’utiliser votre nouveau portefeuille matériel, c’est une bonne idée de l’inspecter pour détecter des signes d’altération tels que des rayures, de la colle ou des composants incompatibles.
• Kaspersky tire la sonnette d’alarme : le malware DoubleFinger en action
• Vérifier que le micrologiciel est légitime et à jour, vous pouvez consulter le site Web du fabricant pour savoir quelle version est la plus récente.
• Protéger et stockez en toute sécurité la phrase de récupération de votre portefeuille matériel, avec une solution de sécurité fiable comme Kaspersky Premium.
• Si le portefeuille matériel nécessite un mot de passe, utilisez-en un fort et unique. Évitez d’utiliser des mots de passe faciles à deviner ou de réutiliser les mots de passe d’autres comptes.