English
Kaspersky a descoperit o noua campanie e in Europa, SUA si America Latina. Atacul implica loader-ul DoubleFinger, un program complex care lanseaza GreetingGhoul si troianul Remcos Remote Access (RAT). Analiza Kaspersky evidentiaza tehnicile avansate si nivelul ridicat de abilitati folosite de infractorii cibernetici in acest peisaj de amenintari in continua evolutie.
Dupa cum arata investigatia Kaspersky, loader-ul DoubleFinger in mai multe etape isi initiaza atacul atunci cand victima deschide, fara sa vrea, un atasament PIF malitios, dintr-un mesaj primit pe e-mail. Aceasta actiune declanseaza executarea primei etape a loader-ului, un binar DLL modificat pentru Windows, ulterior fiind executat un cod shell malitios. In continuare, codul shell descarca o imagine PNG, unde este inclusa o sarcina utila, care e lansata ulterior, in cadrul atacului.
In total, DoubleFinger are nevoie de cinci etape pentru a crea o sarcina programata care executa GreetingGhoul in fiecare zi, la o anumita ora. Apoi, descarca un alt fisier PNG, il decripteaza si il executa. GreetingGhoul este conceput special pentru a fura acreditarile legate de criptomonede, si este format din doua componente: prima utilizeaza MS WebView2 pentru a crea suprapuneri pe interfetele portofelelor digitale de criptomonede, iar a doua este conceputa pentru a detecta aplicatiile acestor portofele, prin intermediul carora preia informatiile sensibile, precum cuvinte cheie, fraze de recuperare si asa mai departe.
Pe langa GreetingGhoul, Kaspersky a mai gasit si mostre DoubleFinger care au descarcat Remcos RAT. Remcos este un RAT comercial bine-cunoscut, folosit adesea de infractorii cibernetici in atacuri tintite impotriva companiilor si organizatiilor. Loader-ul in mai multe etape, de tip shellcode, cu capacitati de steganografie, utilizarea interfetelor Windows COM pentru executie invizibila si punerea in aplicare a dublarii proceselor pentru injectarea in procese de la distanta, indica un program de crimeware complex si bine conceput.
Aflati mai multe despre campania DoubleFinger pe Securelist.
Pentru a pastra activele de criptomonede in siguranta, expertii Kaspersky recomanda: Cumparati portofele hardware numai din surse oficiale si de incredere, precum site-ul web al producatorului sau de la distribuitori autorizati. In cazul portofelelor hardware, nu ar trebui sa va introduceti niciodata informatii recovery seed pe computer. Un vanzator de portofele hardware nu va va cere niciodata acest lucru. Verificati daca exista semne de manipulare: Inainte de a utiliza un nou portofel hardware, inspectati-l pentru a vedea daca exista indicii de falsificare, precum zgarieturi, lipici sau componente nepotrivite. Verificati firmware-ul: Verificati intotdeauna daca firmware-ul de pe portofelul hardware este legitim si actualizat. Acest lucru se poate face vizitand site-ul web al producatorului pentru a afla cea mai recenta versiune. Pastrati in siguranta seed phrase-ul: Atunci cand va configurati portofelul hardware, asigurati-va ca va notati si stocati in siguranta seed phrase-ul. O solutie de securitate fiabila, precum Kaspersky Premium, va va proteja detaliile stocate pe telefonul mobil sau pe PC. Setati o parola puternica: Daca portofelul hardware permite aceasta functie, folositi o parola puternica si unica. Evitati sa folositi parole usor de ghicit sau sa refolositi parolele de la alte conturi.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
