Новый загрузчик DoubleFinger прячет стилер GreetingGhoul в PNG-файлах и подменяет интерфейс кошельков

Эксперты Лаборатории Касперсого обнаружили новый многоступенчатый загрузчик DoubleFinger, который доставляет стилер GreetingGhoul на компьютеры пользователей в Европе, США и Латинской Америке. Атака начинается с того, что жертва открывает вредоносное вложение PIF в электронном письме, запуская первый этап загрузчика DoubleFinger.

Первый этап представляет собой модифицированный файл espexe.exe (приложение Microsoft Windows Economical Service Provider), который выполняет зловредный шелл-код, отвечающий за загрузку PNG-изображения с сервиса Imgur. Изображение использует стеганографический прием для сокрытия зашифрованной полезной нагрузки, которая запускает четырехступенчатую цепочку компрометации, в результате которой на зараженном хосте выполняется GreetingGhoul.

Особенностью GreetingGhoul является использование Microsoft Edge WebView2 для создания поддельных наложений поверх легитимных криптовалютных кошельков, чтобы похитить учетные данные, вводимые ничего не подозревающими пользователями. Кроме того, DoubleFinger также доставляет Remcos RAT - коммерческий троян, который широко использовался злоумышленниками для атак на европейские и украинские организации в последние месяцы.

Проведенное исследование вредоносных программ DoubleFinger и GreetingGhoul указывает на высокий уровень технической подготовки их создателей, способных разрабатывать мощное вредоносное ПО, сравнимое с APT-угрозами. Многоуровневый загрузчик, который применяет шелл-коды и стеганографию, использует COM-интерфейсы Windows для скрытого выполнения и применяет метод Process Doppelgänging для интеграции в отдаленные процессы, демонстрирует высокий уровень продуманности и сложности атаки. Дополнительно, применение среды выполнения Microsoft WebView2 для создания поддельных интерфейсов для криптовалютных кошельков является еще одним показателем продвинутой тактики, используемой в данной атаке.