adlı yeni bir çok aşamalı yükleyici Çift Parmak Avrupa, ABD ve Latin Amerika’daki kullanıcıları hedef alan gelişmiş bir saldırıda, TebrikGhoul adlı bir kripto para hırsızı sağladığı gözlemlendi.
Kaspersky araştırmacısı Sergey Lozhkin, “DoubleFinger, hedef makinede, kurban bir e-posta iletisindeki kötü amaçlı bir PIF ekini açıp, DoubleFinger’ın yükleme aşamalarının ilkini gerçekleştirdiğinde devreye giriyor.” söz konusu Pazartesi raporunda.
Saldırıların başlangıç noktası, değiştirilmiş bir versiyonudur. espexe.exe – Microsoft Windows Ekonomik Hizmet Sağlayıcı uygulamasını ifade eder – bu, görüntü barındırma hizmeti Imgur’dan bir PNG görüntü dosyasını almaktan sorumlu kabuk kodunu yürütmek için tasarlanmıştır.
Görüntü, en sonunda bulaşmış ana bilgisayarda tebrikGhoul hırsızının yürütülmesiyle sonuçlanan dört aşamalı bir uzlaşma zincirini tetikleyen şifreli bir yükü gizlemek için steganografik hile kullanıyor.
TebrikGhoul’un dikkate değer bir yönü, Microsoft Kenar Web Görünümü2 şüphelenmeyen kullanıcılar tarafından girilen kimlik bilgilerini sifonlamak için meşru kripto para birimi cüzdanlarının üzerinde sahte kaplamalar oluşturmak.
DoubleFinger, TebrikGhoul’u düşürmenin yanı sıra, tehdit aktörleri tarafından son aylarda Avrupalı ve Ukraynalı kuruluşları vurmak için yaygın olarak kullanılan ticari bir truva atı olan Remcos RAT’ı da teslim ederken görüldü.
Lozhkin, analizin “gelişmiş kalıcı tehditlere (APT’ler) benzer şekilde, suç yazılımı geliştirmede yüksek düzeyde bir karmaşıklık ve beceri ortaya koyduğunu” kaydetti.
“Steganografik yeteneklere sahip çok aşamalı, kabuk kodu tarzı yükleyici, gizli yürütme için Windows COM arabirimlerinin kullanımı ve süreç doppelgänging uzak süreçlere enjeksiyon için hepsi iyi hazırlanmış ve karmaşık suç yazılımlarına işaret ediyor.”
