Kaspersky Lab ekibi, Avrupa, ABD ve Latin Amerika’daki kripto cüzdan sahiplerine yönelik karmaşık, çok aşamalı bir saldırı olan son keşiflerini bildirdi.
Saldırganlar gelişmiş teknikler kullanır ve yüksek düzeyde teknik beceri gösterir. Saldırı, Trojan indiricisi DoubleFinger kullanılarak gerçekleştirilir. Uzmanlara göre bu, kripto para cüzdanlarından (GreetingGhoul) ve Remcos Uzaktan Erişim Truva Atı’ndan (RAT) oturum açma bilgilerini ve parolaları çalmak için bir program enjekte eden karmaşık bir kötü amaçlı yazılımdır.
Saldırı, kurban bir e-postadaki kötü amaçlı bir PIF ekini açtıktan sonra başlar. DoubleFinger’ın, TebrikGhoul şekillendiricinin her gün belirli bir zamanda gerçekleştirmesi gereken bir görev oluşturması toplam beş adımı alır.
Trojan-stealer iki bileşenden oluşur. İlki, gerçek kripto para cüzdanlarının arayüzüyle örtüşen ve kullanıcının istemeden bir tohum cümlesi girebileceği sahte pencereler oluşturmak için MS WebView2 ortamını kullanır. İkincisi, kurbanın cihazında kripto para cüzdanı olan uygulamaları arar.
Uzmanlar, kötü amaçlı yazılım kodunda Rusça birkaç metin parçası buldu; örneğin, komuta ve kontrol sunucusu URL’si bozuk harf çevirisi “Privetsvoyu”daki Rusça kelimeyle başlıyor. Ancak bu, saldırıların arkasında Rusça konuşan örgütçülerin olduğunu iddia etmek için yeterli değil.