Лаборатория Касперского: Загрузчик DoubleFinger скрытно устанавливает ПО для атаки криптокошельков

По словам экспертов «Лаборатории Касперского», новый многошаговый загрузчик DoubleFinger скрытно устанавливает угонщик GreetingGhoul на устройства жертв.

DoubleFinger распространяет программу GreetingGhoul и троян удаленного доступа Remco (RAT). Анализ кода GreetingGhoul сообщает, что это похититель учетных данных, состоящий из двух основных компонентов, которые, по словам экспертов по вирусам, работают вместе. Первый компонент использует среду MS WebView2 для создания интерфейса поддельного криптовалютного кошелька, а второй компонент обнаруживает криптовалютное приложение на устройстве жертвы и крадет важную конфиденциальную информацию.

Специалисты лаборатории отмечают высокий риск заражения пользовательских устройств, поскольку многоэтапный загрузчик в стиле шеллкода со стеганографическими возможностями использует COM-интерфейс Windows для скрытого выполнения, а также реализации Process Doppelgänging для внедрения в удаленные процессы. Программа демонстрирует высокий уровень навыков разработки, отмечает Касперский.

В конце мая аналитическая компания Scam Sniffer предупредила криптосообщество о том, что поставщик вредоносного ПО Inferno Drainer предположительно может быть связан с тысячами краж криптоактивов на миллионы долларов.

Источник