Kaspersky ha scoperto una nuova sofisticata campagna di attacchi multi-stage ai criptowallet in Europa, Stati Uniti e America Latina. Questo attacco utilizza il loader DoubleFinger, un crimeware complesso che implementa il cryptocurrency stealer GreetingGhoul e il Remote Access Trojan (RAT) Remcos. L’analisi di Kaspersky evidenzia un alto livello di competenze e tecniche avanzate utilizzate dai cybercriminali in questo panorama delle minacce sempre in evoluzione.
Come dimostra l’indagine di Kaspersky, il loader multi-stage DoubleFinger dà inizio ai propri attacchi quando la vittima apre inavvertitamente un allegato PIF malevolo contenuto in un’email. Questa azione provoca l’esecuzione del primo livello del loader: un file binario DLL di Windows modificato, a cui segue l’esecuzione di uno shellcode malevolo, che scarica poi un’immagine PNG contenente un playload da lanciare successivamente durante l’attacco.
In totale DoubleFinger richiede cinque livelli per poter realizzare un’operazione pianificata che prevede l’esecuzione dello GreetingGhoul quotidianamente a un’ora prestabilita. In seguito, scarica un altro file PNG, che viene decifrato ed eseguito. GreetingGhoul è uno stealer progettato per rubare le credenziali collegate alle criptovalute e composto da due componenti: il primo utilizza MS WebView2 per creare overlay sulle interfacce dei portafogli di criptovalute, mentre il secondo è progettato per rilevare le app dei wallet di criptovalute e rubare informazioni sensibili, come chiavi, frasi di recupero e così via.
Oltre allo stealer GreetingGhoul, Kaspersky ha trovato anche esempi di DoubleFinger che hanno scaricato Remcos RAT, spesso usato dai cybercriminali per attacchi mirati ai danni di aziende e organizzazioni. Il loader multi-stage di tipo shellcode con funzionalità di steganografia, l’uso di interfacce COM di Windows per l’esecuzione nascosta e l’implementazione del doppelgänging dei processi per l’injection nei processi da remoto indicano un crimeware ben realizzato e complesso.
“Con la continua crescita del valore e della popolarità delle criptovalute, aumenta anche l’interesse dei cybercriminali. Il gruppo responsabile del loader DoubleFinger e del malware GreetingGhoul si contraddistingue per essere un attore sofisticato con competenze avanzate nello sviluppo del crimeware, simili alle advanced persistent threat. La sicurezza dei portafogli di criptovalute è una responsabilità condivisa tra i provider di wallet, i singoli utenti e l’intera community di criptovalute. Per mitigare i rischi e assicurare la protezione dei nostri asset digitali, è importante prestare sempre attenzione, implementare misure di sicurezza efficaci ed essere informati sulle ultime minacce”, ha dichiarato Sergey Lozhkin, Lead Security Researcher del GReAT di Kaspersky.
Per ulteriori informazioni sulla campagna DoubleFinger sono disponibili su Securelist.
Per proteggere i propri investimenti in criptovalute, Kaspersky consiglia di:
⦁ Acquistare portafogli hardware solamente da fonti ufficiali e affidabili, come il sito del produttore o i rivenditori autorizzati. Nei portafogli hardware è importante non caricare mai il proprio seed di recuper sul computer, poiché nessun fornitore lo richiederà mai.
⦁ Prima di utilizzare il nuovo portafoglio hardware, è bene controllare che non siano presenti segni di manomissione come graffi, colla o componenti non corrispondenti.
⦁ Verificare che il firmware sia legittimo e aggiornato, è possibile consultare il sito del produttore per conoscere qual è la versione più recente.
⦁ Proteggere e conservare in modo sicuro la frase di recupero per il proprio portafoglio hardware, con una soluzione di sicurezza affidabile come ⦁ Kaspersky Premium, che proteggerà i dati crittografici memorizzati sul proprio cellulare o PC.
⦁ Se il portafoglio hardware prevede una password, usarne una efficace e unica. Evitare di usare password facilmente indovinabili o di riutilizzare password di altri account.
Informazioni su Kaspersky
Kaspersky è un’azienda globale di sicurezza informatica e digital privacy fondata nel 1997. Le profonde competenze in materia di Threat Intelligence e sicurezza si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e utenti in tutto il mondo.
Il portfolio completo di sicurezza dell’azienda comprende una protezione leader degli endpoint e diverse soluzioni e servizi di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Oltre 400 milioni di utenti sono protetti dalle tecnologie Kaspersky e aiutiamo 220.000 aziende a tenere al sicuro ciò che più conta per loro. Per ulteriori informazioni è possibile consultare https://www.kaspersky.it/
