Tabla de Contenidos
Ataques sofisticados: DoubleFinger y GreetingGhoul
Se ha descubierto un nuevo ataque de múltiples etapas dirigido a las criptomonedas en Europa, Estados Unidos y Latinoamérica. Este ataque involucra al cargador DoubleFinger y al ladrón de criptomonedas GreetingGhoul, mostrando la habilidad de los ciberdelincuentes para adaptarse a un panorama de amenazas en constante evolución.
El ataque comienza cuando la víctima abre un adjunto PIF malicioso en un correo electrónico. Esto desencadena la primera etapa del cargador DoubleFinger, que es una versión modificada de un archivo DLL de Windows. Luego se ejecuta un shellcode malicioso que descarga una imagen PNG con una carga útil que se lanzará más adelante en el ataque.
Funcionamiento de GreetingGhoul y otras amenazas
DoubleFinger crea una tarea programada que ejecuta el ladrón GreetingGhoul todos los días a una hora específica después de cinco etapas. Posteriormente, descarga otro archivo PNG, lo descifra y luego lo ejecuta. GreetingGhoul está diseñado para robar credenciales relacionadas con criptomonedas.
Consta de dos componentes: el primero utiliza MS WebView2 para crear superposiciones en las interfaces de las carteras de criptomonedas, y el segundo está diseñado para detectar aplicaciones de carteras de criptomonedas y robar información sensible, como claves, frases de recuperación, entre otros.
Además de GreetingGhoul, se encontraron muestras de DoubleFinger que descargaban el troyano de acceso remoto (RAT) Remcos. Remcos es un RAT comercial bien conocido que los ciberdelincuentes suelen utilizar en ataques dirigidos contra empresas y organizaciones.
Este cargador de estilo shellcode de múltiples etapas con capacidades de esteganografía, el uso de interfaces COM de Windows para una ejecución sigilosa, y la implementación de procesos de doppelgänging para la inyección en procesos remotos, todo apunta a un crimeware bien elaborado y complejo.
Protección contra estas amenazas
A medida que el valor y la popularidad de las criptomonedas continúan aumentando, también lo hace el interés de los ciberdelincuentes.
El grupo detrás del cargador DoubleFinger y del malware GreetingGhoul se destaca como un actor sofisticado con habilidades de desarrollo de crimeware comparables a las amenazas persistentes avanzadas.
Proteger las carteras de criptomonedas es una responsabilidad compartida entre los proveedores de carteras, los individuos y la comunidad de criptomonedas en general.
Al permanecer vigilantes, implementar medidas de seguridad sólidas y mantenerse informados sobre las últimas amenazas, podemos mitigar los riesgos y asegurar la seguridad de nuestros valiosos activos digitales.
