DoubleFinger通過加載GreetingGhoul竊取加密貨幣。

竊取加密貨幣並不是什麼新鮮事。

例如,早在2010年代初,Mt.Gox交易所就被盜竊了許多比特幣,Coinvault勒索軟件背後的組織也一直在針對比特幣錢包發起攻擊。

應該是從那時起,竊取加密貨幣業務就成了攻擊者不可或缺的業務。

就在前幾天,6 月 3 日,Atomic Wallet 發推稱接到用戶錢包被黑的報告,並已著手調查。

6 月 4 日,Atomic Wallet 發推稱已聯合第三方安全公司對錢包被黑事件進行調查,並阻止了在加密貨幣交易所交易的被竊加密貨幣。

目前,Atomic Wallet 已下線了其下載服務器—— get.atomicwallet.io。

初步統計,有價值超過 3500 萬美元的加密貨幣被竊取。

根據卡巴斯基實驗室研究人員的調查,最近出現了一個多級DoubleFinger加載器,它會傳播加密貨幣竊取程序。

當受害者打開電子郵件中的惡意PIF附件,最終執行DoubleFinger的第一個加載器階段時,DoubleFinger會部署在目標計算機上。


階段1

第一階段是修改後的『espexe.exe』《MS Windows經濟服務提供商應用程序》二進制文件,其中對DialogFunc進行了修復,從而執行惡意shellcode。

通過哈希解析添加到DialogFunc中的API函數後,shellcode從Imgur.com下載PNG圖像。

接下來,shellcode在下載的圖像中搜索魔術字節(0xea79a5c6),在圖像中定位加密的有效負載。

Real DialogFunc函數《左》和帶有shellcode的修復函數《右》

加密的有效負載包括:

具有第四級有效負載的PNG;

加密的數據blob;

合法的java.exe二進制文件,用於DLL側加載;

DoubleFinger第二階段加載器。


階段2

第二階段的shellcode是通過執行與第二階段加載器shellcode《文件名為msvcr100.dll》位於同一目錄中的合法Java二進制文件來加載的。

與第一階段一樣,該文件是一個合法的修復二進制文件,具有與第一階段類似的結構和功能。

毫無疑問,shellcode會加載、解密並執行第三階段的shellcode。


階段3

第三階段shellcode與第一階段和第二階段有很大不同。

例如,它使用低級Windows API調用,並在進程內存中加載和映射ntdll.dll,以繞過安全解決方案設置的掛鉤。

下一步是解密並執行位於上述PNG文件中的第四階段有效負載。

與下載的PNG文件不顯示有效圖像不同,此PNG文件顯示有效圖像。

然而,所使用的隱寫術方法相當簡單,因為數據是從特定的偏移量中檢索的。

帶有嵌入式第四階段的aa.png文件


階段4

第四階段的shellcode相當簡單,它在自身內部定位第五階段,然後使用Process Doppelgänging技術執行該階段。

Process Doppelgänging與Process Hollowing技術類似,不同之處在於前者通過攻擊Windows NTFS運作機制和一個來自Windows進程載入器中的過時的應用。


階段5

第五階段創建一個計劃任務,每天在特定時間執行GreetingGhoul 竊取程序。

然後,它下載另一個PNG文件《實際上是加密的GreetingGhoul二進制文件,前面有一個有效的PNG頭》,解密後執行。


GreetingGhoul 和Remcos

GreetingGhoul是一款旨在竊取加密貨幣相關憑證的竊取器,大致由兩個協同工作的主部件組成:

一個使用MS WebView2在加密貨幣錢包接口上創建覆蓋的組件;

一個檢測加密貨幣錢包應用程序並竊取敏感信息(例如恢復短語)的組件。

虛假窗口示例

對於硬件錢包,用戶永遠不應該在計算機上填寫備份種子(recovery seed),。

硬件錢包供應商絕不會要求用戶提供備份種子,也不會讓用戶提供與你的設備有關的信息。

不要相信任何人要求你提供備份種子,這可能會導致你的賬戶和資金被損害。

GreetingGhoul之後,研究人員還發現了幾個下載Remcos RAT的DoubleFinger樣本。

Remcos是一種著名的商業RAT,經常被攻擊者使用,研究人員已經看到它被用於針對企業和組織。

Remcos是一款商業遠控木馬,包括實現遠程桌面控制、屏幕竊取、剪切板竊取、攝像頭及音頻窺視、命令執行、瀏覽器竊密、密碼竊取、創建代理等豐富功能,能對文件、進程、服務、窗口、註冊表、網絡等信息進行收集和管理。


幕後組織分析

研究人員在惡意軟件中發現了幾段俄語文本。

C2 URL的第一部分是『Privetsvoyu』,這是俄語單詞『問候』的拼寫錯誤的音譯。

研究人員還發現了字符串『salavsmembratyamyazadehayustlokeretodlyagadoveubilinashusferu』。

盡管這句話的音譯很奇怪,但大致可以翻譯成:『向所有兄弟問好,我在這裡快窒息了,儲物櫃是給混蛋用的,你把我們感興趣的領域搞砸了』

分析發現,受害者位於歐洲、美國和拉丁美洲。


總結

對DoubleFinger加載器和GreetingGhoul惡意軟件的分析顯示,它們具有高度的復雜性和技能,類似於高級持續威脅《APT》,比如它們且具有隱寫功能的多級shellcode式加載器、使用Windows COM接口進行秘密執行,以及實現用於註入遠程進程的Process Doppelgäging,都表明這是一個精心開發的惡意軟件。

使用Microsoft WebView2運行時創建加密貨幣錢包的偽造接口進一步突出了惡意軟件所采用的先進技術。

參考及來源:https://securelist.com/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/109982/