Un novedoso cargador de etapas múltiples llamado dedo doble se ha observado entregando un ladrón de criptomonedas denominado GreetingGhoul en lo que es un ataque avanzado dirigido a usuarios en Europa, EE. UU. y América Latina.
«DoubleFinger se implementa en la máquina de destino, cuando la víctima abre un archivo adjunto PIF malicioso en un mensaje de correo electrónico, y finalmente ejecuta la primera de las etapas del cargador de DoubleFinger», dijo el investigador de Kaspersky Sergey Lozhkin. dicho en un informe del lunes.
El punto de partida de los ataques es una versión modificada de espex.exe – que se refiere a la aplicación Proveedor de servicios económicos de Microsoft Windows – que está diseñada para ejecutar el código shell responsable de recuperar un archivo de imagen PNG del servicio de alojamiento de imágenes Imgur.
La imagen emplea trucos esteganográficos para ocultar una carga útil cifrada que desencadena una cadena de compromiso de cuatro etapas que finalmente culmina con la ejecución del ladrón GreetingGhoul en el host infectado.
Un aspecto notable de GreetingGhoul es su uso de Microsoft Edge WebView2 para crear superposiciones falsificadas sobre billeteras de criptomonedas legítimas para desviar las credenciales ingresadas por usuarios desprevenidos.
DoubleFinger, además de eliminar GreetingGhoul, también ha sido visto entregando Remcos RAT, un troyano comercial que ha sido ampliamente utilizado por los actores de amenazas para atacar a entidades europeas y ucranianas en los últimos meses.
El análisis «revela un alto nivel de sofisticación y habilidad en el desarrollo de crimeware, similar a las amenazas persistentes avanzadas (APT)», señaló Lozhkin.
«El cargador estilo shellcode de varias etapas con capacidades esteganográficas, el uso de interfaces COM de Windows para una ejecución sigilosa y la implementación de duplicación de procesos para la inyección en procesos remotos, todos apuntan a software delictivo complejo y bien elaborado».