{"id":27805,"date":"2023-06-12T20:46:31","date_gmt":"2023-06-12T18:46:31","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27805"},"modified":"2023-06-12T20:46:31","modified_gmt":"2023-06-12T18:46:31","slug":"doublefinger-crypto-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/doublefinger-crypto-stealer\/27805\/","title":{"rendered":"Doppio problema: il furto di criptovalute DoubleFinger"},"content":{"rendered":"

Le criptovalute sono sempre nel mirino dei cybercriminali. Per impossessarsene gli hacker utilizzano vari schemi: dalle banali truffe per il mining di Bitcoin<\/a> alle grandi rapine di criptovalute del valore di centinaia di milioni di dollari<\/a>.<\/p>\n

Per i titolari di criptovalute, i pericoli si nascondono praticamente dietro ogni angolo. Proprio di recente abbiamo parlato dei falsi wallet di criptovalute<\/a>, che sembrano e funzionano come quelli veri, ma alla fine rubano tutti i vostri soldi. Ora i nostri esperti hanno scoperto<\/a> una nuova minaccia: un attacco sofisticato che utilizza il loader DoubleFinger, che porta con s\u00e9 due amici, il cryptostealer GreetingGhoul e il Trojan Remcos\u00a0 ad accesso remoto. Ma andiamo con ordine\u2026<\/p>\n

Come DoubleFinger installa GreetingGhoul<\/strong><\/h2>\n

I nostri esperti hanno osservato l\u2019elevato livello tecnico dell\u2019attacco e la sua natura multistadio, che lo fa assomigliare a un attacco APT<\/a> (advanced persistent threat<\/em>). Un\u2019infezione DoubleFinger inizia con un\u2019e-mail contenente un file PIF dannoso. Una volta che il destinatario apre l\u2019allegato, si verificano una serie di eventi, come di seguito illustrato:<\/p>\n

Fase 1.<\/strong> DoubleFinger esegue uno shellcode<\/a> che scarica un file in formato PNG dalla piattaforma di condivisione di immagini Imgur.com. Ma non si tratta affatto di un\u2019immagine: il file contiene pi\u00f9 componenti di DoubleFinger in forma crittografata, che vengono utilizzati nelle fasi successive dell\u2019attacco. Questi includono un loader da utilizzare nella seconda fase dell\u2019attacco, un file java.exe legittimo e un altro file PNG da distribuire successivamente, nella quarta fase.<\/p>\n

Fase 2.<\/strong> Il loader di DoubleFinger, menzionato nella seconda fase, viene eseguito utilizzando il file java.exe legittimo di cui sopra, dopodich\u00e9 viene eseguito un altro shellcode che scarica, decodifica e lancia la terza fase di DoubleFinger.<\/p>\n

Fase 3.<\/strong> In questa fase, DoubleFinger esegue una serie di azioni per aggirare il software di sicurezza installato sul computer. Successivamente, il loader decodifica e lancia il quarto stadio, che \u00e8 contenuto nel file PNG menzionato nella prima fase. Tra l\u2019altro, questo file PNG non contiene solo il codice dannoso, ma anche l\u2019immagine che ha dato il nome al malware:<\/p>\n

\"Il

Le due dita da cui ha preso il nome DoubleFinger<\/p><\/div>\n

\u00a0<\/p>\n

Fase 4.<\/strong> In questa fase, DoubleFinger lancia la quinta fase utilizzando una tecnica chiamata Process Doppelg\u00e4nging<\/a> mediante la quale viene sostituito il processo legittimo con uno modificato che contiene il payload della quinta fase.<\/p>\n

Fase 5.<\/strong> Dopo tutte le manipolazioni di cui sopra, DoubleFingerg si dedica a ci\u00f2 per cui \u00e8 stato progettato: caricare e decrittografare un altro file PNG, questo contenente il payload finale. Si tratta del cryptostealer GreetingGhoul, che si installa nel sistema e viene programmato in Task Scheduler per essere eseguito tutti i giorni ad un\u2019ora specifica.<\/p>\n

Come GreetingGhoul ruba i cryptowallet<\/strong><\/h2>\n

Una volta che il loader DoubleFinger ha svolto il suo lavoro, entra in gioco GreetingGhoul. Questo malware contiene due elementi complementari:<\/p>\n

    \n
  1. Il primo elemento rileva le applicazioni cryptowallet presenti nel sistema e ruba i dati che interessano agli hacker (chiavi private e frasi seed).<\/li>\n
  2. Il secondo si sovrappone all\u2019interfaccia delle applicazioni di criptovalute e intercetta gli input dell\u2019utente.<\/li>\n<\/ol>\n
    \"GreetingGhoul

    Esempio di GreetingGhoul quando si sovrappone all\u2019interfaccia delle applicazioni di criptovalute<\/p><\/div>\n

    \u00a0<\/p>\n

    Di conseguenza, i cybercriminali che si celano dietro DoubleFinger sono in grado di prendere il controllo dei cryptowallet delle vittime e di prelevare fondi da questi.<\/p>\n

    I nostri esperti hanno scoperto diverse modifiche di DoubleFinger, alcune delle quali (la ciliegina sulla torta) installano nel sistema infetto il Trojan Remcos ad accesso remoto. Si tratta di un trojan ad accesso remoto<\/a> piuttosto comune nei circoli dei criminali informatici. Il suo scopo risiede proprio nel nome: REM<\/strong>ote CO<\/strong>ntrol & Surveillance. In altre parole, Remcos consente ai cybercriminali di osservare tutte le azioni dell\u2019utente e di assumere il pieno controllo del sistema infetto.<\/p>\n

    Come proteggere i wallet di criptovalute<\/strong><\/h2>\n

    Le criptovalute continuano a essere una calamita per i cybercriminali, quindi tutti i cripto-investitori devono preoccuparsi della sicurezza. A questo proposito, vi consigliamo di leggere il nostro recente post \u201cCome proteggere i crypto-investimenti: 4 passi chiave verso la sicurezza<\/a>\u201c. Nel frattempo, ecco un riassunto dei punti chiave:<\/p>\n