Un nouveau chargeur à plusieurs étages appelé Double Doigt a été observé en train de livrer un voleur de crypto-monnaie surnommé GreetingGhoul dans ce qui est une attaque avancée ciblant des utilisateurs en Europe, aux États-Unis et en Amérique latine.
« DoubleFinger est déployé sur la machine cible, lorsque la victime ouvre une pièce jointe PIF malveillante dans un e-mail, exécutant finalement la première des étapes du chargeur de DoubleFinger », a déclaré Sergey Lozhkin, chercheur chez Kaspersky. a dit dans un rapport du lundi.
Le point de départ des attaques est une version modifiée de espexe.exe – qui fait référence à l’application Microsoft Windows Economical Service Provider – qui est conçue pour exécuter le shellcode responsable de la récupération d’un fichier image PNG à partir du service d’hébergement d’images Imgur.
L’image utilise une supercherie stéganographique pour dissimuler une charge utile cryptée qui déclenche une chaîne de compromission en quatre étapes qui aboutit finalement à l’exécution du voleur GreetingGhoul sur l’hôte infecté.
Un aspect notable de GreetingGhoul est son utilisation de Microsoft Edge WebView2 pour créer des superpositions contrefaites sur des portefeuilles de crypto-monnaie légitimes pour siphonner les informations d’identification saisies par des utilisateurs peu méfiants.
DoubleFinger, en plus d’avoir abandonné GreetingGhoul, a également été repéré en train de livrer Remcos RAT, un cheval de Troie commercial qui a été largement utilisé par les acteurs de la menace pour frapper des entités européennes et ukrainiennes ces derniers mois.
L’analyse « révèle un niveau élevé de sophistication et de compétence dans le développement de logiciels criminels, semblable aux menaces persistantes avancées (APT) », a noté Lozhkin.
« Le chargeur multi-étapes de style shellcode avec des capacités stéganographiques, l’utilisation d’interfaces Windows COM pour une exécution furtive et la mise en œuvre de double processus à injecter dans des processus distants pointent tous vers des logiciels criminels bien conçus et complexes. »