Doppio problema: il furto di criptovalute DoubleFinger

Oggi vi spieghiamo come il malware avanzato DoubleFinger scarica GreetingGhoul, un ladro di wallet di criptovalute.

Le criptovalute sono sempre nel mirino dei cybercriminali. Per impossessarsene gli hacker utilizzano vari schemi: dalle banali truffe per il mining di Bitcoin alle grandi rapine di criptovalute del valore di centinaia di milioni di dollari.

Per i titolari di criptovalute, i pericoli si nascondono praticamente dietro ogni angolo. Proprio di recente abbiamo parlato dei falsi wallet di criptovalute, che sembrano e funzionano come quelli veri, ma alla fine rubano tutti i vostri soldi. Ora i nostri esperti hanno scoperto una nuova minaccia: un attacco sofisticato che utilizza il loader DoubleFinger, che porta con sé due amici, il cryptostealer GreetingGhoul e il Trojan Remcos  ad accesso remoto. Ma andiamo con ordine…

Come DoubleFinger installa GreetingGhoul

I nostri esperti hanno osservato l’elevato livello tecnico dell’attacco e la sua natura multistadio, che lo fa assomigliare a un attacco APT (advanced persistent threat). Un’infezione DoubleFinger inizia con un’e-mail contenente un file PIF dannoso. Una volta che il destinatario apre l’allegato, si verificano una serie di eventi, come di seguito illustrato:

Fase 1. DoubleFinger esegue uno shellcode che scarica un file in formato PNG dalla piattaforma di condivisione di immagini Imgur.com. Ma non si tratta affatto di un’immagine: il file contiene più componenti di DoubleFinger in forma crittografata, che vengono utilizzati nelle fasi successive dell’attacco. Questi includono un loader da utilizzare nella seconda fase dell’attacco, un file java.exe legittimo e un altro file PNG da distribuire successivamente, nella quarta fase.

Fase 2. Il loader di DoubleFinger, menzionato nella seconda fase, viene eseguito utilizzando il file java.exe legittimo di cui sopra, dopodiché viene eseguito un altro shellcode che scarica, decodifica e lancia la terza fase di DoubleFinger.

Fase 3. In questa fase, DoubleFinger esegue una serie di azioni per aggirare il software di sicurezza installato sul computer. Successivamente, il loader decodifica e lancia il quarto stadio, che è contenuto nel file PNG menzionato nella prima fase. Tra l’altro, questo file PNG non contiene solo il codice dannoso, ma anche l’immagine che ha dato il nome al malware:

Il file PNG usato da DoubleFinger con il codice dannoso della quarta fase

Le due dita da cui ha preso il nome DoubleFinger

 

Fase 4. In questa fase, DoubleFinger lancia la quinta fase utilizzando una tecnica chiamata Process Doppelgänging mediante la quale viene sostituito il processo legittimo con uno modificato che contiene il payload della quinta fase.

Fase 5. Dopo tutte le manipolazioni di cui sopra, DoubleFingerg si dedica a ciò per cui è stato progettato: caricare e decrittografare un altro file PNG, questo contenente il payload finale. Si tratta del cryptostealer GreetingGhoul, che si installa nel sistema e viene programmato in Task Scheduler per essere eseguito tutti i giorni ad un’ora specifica.

Come GreetingGhoul ruba i cryptowallet

Una volta che il loader DoubleFinger ha svolto il suo lavoro, entra in gioco GreetingGhoul. Questo malware contiene due elementi complementari:

  1. Il primo elemento rileva le applicazioni cryptowallet presenti nel sistema e ruba i dati che interessano agli hacker (chiavi private e frasi seed).
  2. Il secondo si sovrappone all’interfaccia delle applicazioni di criptovalute e intercetta gli input dell’utente.
GreetingGhoul sovrascrive l'interfaccia delle applicazioni di criptovalute

Esempio di GreetingGhoul quando si sovrappone all’interfaccia delle applicazioni di criptovalute

 

Di conseguenza, i cybercriminali che si celano dietro DoubleFinger sono in grado di prendere il controllo dei cryptowallet delle vittime e di prelevare fondi da questi.

I nostri esperti hanno scoperto diverse modifiche di DoubleFinger, alcune delle quali (la ciliegina sulla torta) installano nel sistema infetto il Trojan Remcos ad accesso remoto. Si tratta di un trojan ad accesso remoto piuttosto comune nei circoli dei criminali informatici. Il suo scopo risiede proprio nel nome: REMote COntrol & Surveillance. In altre parole, Remcos consente ai cybercriminali di osservare tutte le azioni dell’utente e di assumere il pieno controllo del sistema infetto.

Come proteggere i wallet di criptovalute

Le criptovalute continuano a essere una calamita per i cybercriminali, quindi tutti i cripto-investitori devono preoccuparsi della sicurezza. A questo proposito, vi consigliamo di leggere il nostro recente post “Come proteggere i crypto-investimenti: 4 passi chiave verso la sicurezza“. Nel frattempo, ecco un riassunto dei punti chiave:

  • Le truffe esistono. Il mondo delle criptovalute è pieno di truffatori di ogni tipo, quindi scrutate costantemente l’orizzonte alla ricerca di trappole e controllate e ricontrollate sempre tutto meticolosamente.
  • Non mettete tutte le vostre uova in un solo paniere. Utilizzate una combinazione di hot wallet (per le transazioni quotidiane) e cold wallet (per gli investimenti a lungo termine).
  • Scoprite come i criminali informatici possono attaccare i cold wallet di criptovalute.
  • Comprate solo da fonti ufficiali: acquistate i portafogli hardware solo da fonti ufficiali e fidate, come il sito web del produttore o i rivenditori autorizzati. In questo modo eviterete di acquistare un portafoglio di criptovalute falso.
  • Verificate la presenza di segni di manomissione: prima di utilizzare un nuovo portafoglio hardware, ispezionatelo per vedere se sono presenti segni di manomissione, come graffi, colla o componenti non adeguati.
  • Verificate il firmware: verificate sempre che il firmware del portafoglio hardware sia legittimo e aggiornato. A tale scopo, è possibile controllare l’ultima versione sul sito web del produttore.
  • Non compilate mai il seed di recupero per un portafoglio hardware su un computer. Il fornitore di un portafoglio hardware non ve lo chiederà mai.
  • Proteggete le password, le chiavi e le frasi seed. Utilizzate password forti e uniche conservatele in modo sicuro e, naturalmente, non date mai le vostre chiavi private o frasi seed a nessuno, in nessun caso.
  • Proteggetevi. Assicuratevi di aver installato una protezione affidabile su tutti i dispositivi che utilizzate per gestire i cryptowallet.

 

Consigli