De acordo com a investigação da Kaspersky, o malware DoubleFinger, com várias fases, inicia o ataque quando a vítima abre inadvertidamente um anexo PIF malicioso recebido por email. Esta ação desencadeia a execução da primeira fase, que utiliza um binário DLL do Windows modificado para executar posteriormente um shellcode (código utilizado para executar actividades maliciosas na máquina da vítima), que descarrega uma imagem PNG. Esta, por sua vez, inclui um payload que será lançado posteriormente.
Ao todo, o DoubleFinger implementa cinco etapas para criar uma tarefa agendada que executa o stealer GreetingGhoul todos os dias, num determinado horário. O GreetingGhoul é um stealer desenvolvido para roubar credenciais relacionadas com criptomoedas e consiste em dois componentes: o primeiro usa o MS WebView2 para criar sobreposições em interfaces de carteiras de criptomoedas, e o segundo é projetado para detetar aplicações de carteiras de criptomoedas e roubar informações confidenciais, como chaves, frases de recuperação, entre outras.
Além do GreetingGhoul stealer, a Kaspersky também encontrou amostras do DoubleFinger que descarregaram o Remcos RAT. O Remcos é um conhecido RAT comercial usado frequentemente por cibercriminosos em ataques dirigidos a empresas e organizações. O loader de várias fases, o estilo shellcode, as capacidades de esteganografia, a utilização de interfaces COM do Windows para uma execução discreta e a implementação de duplicação de processos para injeção em processos remotos apontam para um crimeware bem elaborado e complexo.
"À medida que o valor e a popularidade das criptomoedas continuam a aumentar, o mesmo acontece com o interesse dos cibercriminosos. O grupo por detrás do loader DoubleFinger e do malware GreetingGhoul destaca-se como um ator sofisticado com elevadas competências no desenvolvimento de crimeware, semelhante *as ameaças persistentes avançadas. A proteção das carteiras de criptomoedas é uma responsabilidade partilhada entre os fornecedores de carteiras, os indivíduos e a comunidade de criptomoedas em geral. Mantendo-nos vigilantes, implementando fortes medidas de segurança e informando-nos sobre as ameaças mais recentes, podemos mitigar os riscos e garantir a segurança dos nossos ativos digitais", afirma Sergey Lozhkin, investigador principal de segurança no GReAT da Kaspersky.
Para manter os criptoativos seguros, a Kaspersky recomenda:
- Compre carteiras apenas de fontes oficiais e fornecedores autorizados. Com carteiras hardware, nunca lhe será pedido que introduza a 'frase semente' no seu computador.
- Verifique se a carteira não foi adulterada. Vestígios de cola, riscos e componentes estranhos devem levantar suspeitas de que uma carteira de hardware foi adulterada.
- Verifique o firmware e mantenha-o sempre atualizado a partir do website oficial.
- Mantenha a ‘frase semente’ segura. Ao configurar a carteira, certifique-se de que anota e mantém a senha em segurança. Uma solução de segurança fiável, como o Kaspersky Premium, protege os dados encriptados armazenados no seu telemóvel ou PC.
- Utilize uma palavra-passe forte. Evite senhas fáceis de adivinhar e não reutilize passwords de outras contas.
Para saber mais sobre o DoubleFinger, visite Securelist.