Kompanija Kaspersky otkrila je novu, sofisticiranu i veoma napadnu kampanju koja cilja kriptonovčanike u Evropi, SAD i Latinskoj Americi. Napad uključuje malver DoubleFinger, složeni kriminalistički softver koji koristi krađu kriptovaluta GreetingGhoul i Remcos Remote Access Trojan (RAT). Kaspersky je naprednom analizom detektovao tehnike kao i visok nivo veština koje koriste sajber kriminalci.

Kao što pokazuje istraga kompanije Kaspersky, DoubleFinger pokreće napad kada žrtva nesvesno otvori zlonamerni PIF prilog u poruci e-pošte. Ova radnja pokreće izvršavanje prve faze učitača, modifikovane Windows DLL binarne datoteke, nakon čega se izvršava zlonamerni shellcode. Zatim, shellcode preuzima PNG fotografiju koja uključuje korisni teret koji bi trebalo da bude pokrenut kasnije u okviru napada.

Sve u svemu, DoubleFinger-u je potrebno pet faza za kreiranje zakazanog zadatka koji izvršava GreetingGhoul kradljivac svakodnevno u određeno vreme. Nakon toga preuzima drugu PNG datoteku, dešifruje je i izvršava. GreetingGhoul je kradljivac dizajniran za krađu akreditiva u vezi sa kriptovalutama, koji se sastoji od dve komponente: prva koristi MS WebView2 za kreiranje preklapanja na interfejsu novčanika za kriptovalute,  dok je druga dizajnirana da otkrije aplikacije novčanika za kriptovalute i krade osetljive informacije, kao što su ključevi , fraze za oporavak i slično.

Povezana vest:  Murov zakon puni 50 godina

Pored GreetingGhoul kradljivaca, kompaniji Kaspersky je takođe pronašla DoubleFinger uzorke koji su preuzeli Remcos RAT – dobro poznati komercijalni RAT koji često koriste sajber kriminalci u ciljanim napadima na preduzeća i organizacije. Višestepeni učitač u stilu shellcode-a sa mogućnostima steganografije, upotreba Windows COM interfejsa za prikriveno izvršavanje i implementacija dvostrukog procesa za ubrizgavanje u udaljene procese, što sve ukazuje na dobro izrađen i složen kriminalistički softver.

„Kako vrednost i popularnost kriptovaluta raste, raste i interesovanje sajber kriminalaca. Grupa koja stoji iza učitača DoubleFinger i zlonamernog softvera GreetingGhoul ističe se kao sofisticirani akter sa visokim veštinama u razvoju softvera za kriminal, slično naprednim upornim pretnjama. Zaštita kriptovaluta je zajednička odgovornost između dobavljača novčanika, pojedinaca i šire zajednice kriptovaluta. Ako ostanemo na oprezu, primenimo jake bezbednosne mere i ostanemo informisani o najnovijim pretnjama, možemo da ublažimo rizike i obezbedimo bezbednost naših vrednih digitalnih sredstava“, kaže Sergey Lozhkin, vodeći istraživač bezbednosti u GReAT timu kompaniji Kaspersky.

Povezana vest:  Kaspersky Lab i Seculert otkrili „Madi” – kampanju sajber špijunaže na Bliskom istoku

Više o DoubleFinger kampanji možete saznati na Securelist.com.

Kako biste zadržali kriptonovčanike bezbednim, eksperti kompaniji Kaspersky predlažu:

Kupujte kod pouzdanih i zvaničnih izvora kao što je veb lokacija proizvođača ili ovlašćen prodavac. Sa hardverskim novčanicima, nikada ne bi trebalo da popunjavate šeme za oporavak na računaru. Prodavac hardverskih novčanika to nikada neće tražiti.

Povezana vest:  Majkrosoft protiv Guglove objave propusta na aplikacijama

Pre upotrebe novog hardverskog novčanika, proverite ga da li ima znakova neovlašćenog pristupa, kao što su ogrebotine, lepak ili komponente koje ne bi trebale tu da se nalaze.

Uvek proverite da li je firmware na hardver novčaniku legitiman i ažuran. Ovo možete proveriti tako što proverite najnoviju verziju na veb lokaciji proizvođača.

Obezbedite svoju početnu frazu: Kada podešavate svoj hardver novčanik, obavezno zapišite i bezbedno sačuvajte svoju početnu frazu. Pouzdano bezbednosno rešenje, poput Kaspersky Premium, zaštitiće kripto detalje uskladištene na vašem mobilnom telefonu ili računaru.

Koristite jaku lozinku: Ukoliko vaš hardver novčanik dozvoljava lozinku, koristite jaku i jedinstvenu. Izbegavajte korišćenje lozinki koje je lako pogoditi ili ponovnu upotrebu lozinki sa drugih naloga.