雙重麻煩的DoubleFinger惡意程式

網絡犯罪份子對加密貨幣的攻擊可謂無所不用其極,由挖礦詐騙到搶劫都有,繼近期提及過的假加密錢包後,近日又發現一款精密的DoubleFinger loader,會把盜竊加密貨幣的GreetingGhoul和遙距存取木馬Remcos帶到受害者的電腦。

安裝GreetingGhoul的方法

研究人員發現攻擊高階技術與及多階段性質,情況類似APT (Advanced Persistent Threat)攻擊,DoubleFinger透過電郵附上惡意PIF檔案作為攻擊起點,當收件者打開附件便會展開一連串活動:

Stage 1 – DoubleFinger執行Shellcode從圖片分享平台Imgur.com下載一個PNG檔案,但它並非真的圖片,檔案含有多個加密狀態下的DoubleFinger元件,用來進行後續階段的攻擊,包括用作第二階段攻擊的loader (一個合法的java.exe),以及一個在第4階段才使用的PNG檔案。

Stage 2 – 第二階段loader使用上述的java.exe檔案,然後執行另一個shellcode進行下載、解密和執行第三階段的DoubleFinger。

Stage 3 – DoubleFinger在這階段進行一系列繞過保安軟件安裝到電腦的動作,然後loader解密第一階段提及的PNG檔案和啟動第四階段,該檔案中不但含有惡意編碼,還有惡意程式名字由來的圖片。

Stage 4 – 在此階段利用Process Doppelganging技術啟動第五階段,利用修改後的程序取代合法程序。

Stage 5 – 完成上述步驟後DoubleFinger已經能夠展開預定「工作」,下載和解密另一個內含最終惡意內容的PNG檔案,正是盜竊加密貨幣的GreetingGhoul,把自己安裝在系統內並在Task Scheduler內定下特定時間運行。

GreetingGhoul盜竊加密錢包

DoubleFinger完成它作為loader的工作後,GreetingGhoul便會接手開始行動,它含有兩組互補元件:

  1. 偵測系統內的加密錢包應用程式,盜取攻擊者需要的資料(private key和seed phrase)
  2. 覆蓋加密貨幣應用程式界面,攔截用戶輸入的內容

結果DoubleFinger背後的攻擊者能控制受害者的加密錢包,並從中提取款項,研究人員發現DoubleFinger的多個修改版本,其中有在被感染的系統內加入了遙距存取木馬程式Remcos,它的功能是遙距控制和監視,意味著攻擊者能監察用戶一舉一動,並取得受感染系統的完全控制。

保護自己的加密錢包

加密貨幣持級吸引網絡犯罪份子的注意,想保護自己的財產,不防注意以下幾個要點:

  • 詐騙的心理準備 – 加密貨幣世界充斥著騙徒,所以時刻有面對詐騙的心理準備,所有事都細心檢查及再三求證。
  • 分散財富 – 使用不同的錢包組合,例如把當前交易和長期投資分開。
  • 學習犯罪份子如何攻擊離線的加密錢包
  • 從官方來源購買 – 只從官方和可靠來源購買硬件錢包,例如製造商網站或特許分銷商,以避免購入假加密錢包。
  • 檢查篡改的跡象 – 在使用新硬件錢包前,檢查有否被篡改的跡象。
  • 核實韌體 – 經常檢查硬件錢包的韌體合法和最更新,到製造商網站查看最新的版本。
  • 永遠不要在電腦上填寫硬件錢包的recovery seed – 錢包硬件製造商永不會要求用戶進行此舉。
  • 保護密碼、key和seed phrase – 使用唯一及強力的密碼組合,小心儲存,在任何情況下永不把private key或seed phrase交給任何人。
  • 保護自己 – 在所有管理加密錢包的裝置上安裝可靠的防護

資料來源:Kaspersky Blog