{"id":21384,"date":"2023-06-12T13:57:15","date_gmt":"2023-06-12T16:57:15","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21384"},"modified":"2023-06-12T13:57:15","modified_gmt":"2023-06-12T16:57:15","slug":"doublefinger-crypto-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/doublefinger-crypto-stealer\/21384\/","title":{"rendered":"Problemas em dobro: conhe\u00e7a o DoubleFinger, o ladr\u00e3o de criptomoedas"},"content":{"rendered":"

As criptomoedas est\u00e3o sob ataque de todos os tipos de esquemas criminosos \u2013 desde golpes mundanos de minera\u00e7\u00e3o de Bitcoin<\/a> at\u00e9 grandiosos roubos de criptomoedas no valor de milh\u00f5es de d\u00f3lares<\/a>.<\/p>\n

Para os propriet\u00e1rios de criptomoedas, os perigos espreitam literalmente a cada passo. Recentemente, falamos sobre criptocarteiras falsas<\/a> \u2013 que parecem e funcionam como as reais, mas acabam roubando todo o seu dinheiro. Agora, nossos especialistas descobriram<\/a> uma nova amea\u00e7a: um ataque sofisticado usando o loader<\/em> DoubleFinger, que traz consigo seus amigos na forma do ladr\u00e3o de criptomoedas GreetingGhoul e do Trojan de acesso remoto Remcos. Mas vamos por partes\u2026<\/p>\n

Como o DoubleFinger instala o GreetingGhoul<\/h2>\n

Nossos especialistas observaram o alto n\u00edvel t\u00e9cnico do ataque e sua natureza de v\u00e1rios est\u00e1gios, pelo que se assemelha a um ataque de amea\u00e7a persistente avan\u00e7ada (APT, na sigla em ingl\u00eas)<\/a>. Uma infec\u00e7\u00e3o DoubleFinger come\u00e7a com um e-mail contendo um arquivo PIF malicioso. Assim que o destinat\u00e1rio abre o anexo, inicia-se uma cadeia de eventos, conforme a seguinte sequ\u00eancia:<\/p>\n

Est\u00e1gio 1<\/strong>. DoubleFinger executa um shellcode<\/a> que baixa um arquivo em formato PNG da plataforma de compartilhamento de imagens Imgur.com. Mas n\u00e3o \u00e9 realmente uma imagem: o arquivo cont\u00e9m v\u00e1rios componentes DoubleFinger em formato criptografado, que s\u00e3o usados \u200b\u200bem est\u00e1gios subsequentes do ataque. Isso inclui um loader para uso no segundo est\u00e1gio do ataque, um arquivo java.exe leg\u00edtimo e outro arquivo PNG a ser implantado posteriormente, na quarta etapa.<\/p>\n

Est\u00e1gio 2. <\/strong>O loader de segundo est\u00e1gio do DoubleFinger \u00e9 executado usando o arquivo java.exe leg\u00edtimo mencionado acima, ap\u00f3s o qual ele executa outro shellcode que baixa, descriptografa e inicia o terceiro est\u00e1gio do DoubleFinger.<\/p>\n

Est\u00e1gio 3<\/strong>. Nesse est\u00e1gio, o DoubleFinger realiza uma s\u00e9rie de a\u00e7\u00f5es para driblar o software de seguran\u00e7a instalado no computador. Em seguida, o loader<\/em> burla a criptografia e inicia o quarto est\u00e1gio, que est\u00e1 contido no arquivo PNG mencionado no primeiro est\u00e1gio. Ali\u00e1s, este arquivo PNG cont\u00e9m n\u00e3o apenas o c\u00f3digo malicioso, mas tamb\u00e9m a imagem que deu nome ao malware:<\/p>\n

\"O<\/a>

Os dois dedos que deram origem ao nome DoubleFinger<\/p><\/div>\n

Est\u00e1gio 4<\/strong>. Nesta etapa, o DoubleFinger inicia o quinto est\u00e1gio usando uma t\u00e9cnica chamada \u201cProcesso Doppelg\u00e4nging<\/a>\u201c, por meio da qual h\u00e1 a substitui\u00e7\u00e3o do processo leg\u00edtimo por um modificado que cont\u00e9m a carga \u00fatil do quinto est\u00e1gio.<\/p>\n

Est\u00e1gio 5<\/strong>. Depois de todas as manipula\u00e7\u00f5es acima, o DoubleFinger come\u00e7a a executar as a\u00e7\u00f5es para quais ele realmente foi projetado: carregar e descriptografar outro arquivo PNG \u2013 este contendo a carga \u00fatil final. Se trata do ladr\u00e3o de criptomoedas GreetingGhoul, que invade o sistema e \u00e9 programado no planejador de tarefas para rodar diariamente em um determinado hor\u00e1rio.<\/p>\n

Como o GreetingGhoul rouba criptocarteiras<\/h2>\n

Assim que o loader<\/em> DoubleFinger termina seu trabalho, o GreetingGhoul entra em jogo. Este malware cont\u00e9m dois componentes complementares:<\/p>\n

    \n
  1. aquele que detecta aplicativos de criptocarteiras no sistema e rouba dados de interesse dos invasores (chaves privadas e frases-semente);<\/li>\n
  2. aquele que sobrep\u00f5e a interface dos aplicativos de criptomoeda e intercepta os dados de acesso do usu\u00e1rio.<\/li>\n<\/ol>\n
    \"GreetingGhoul<\/a>

    Exemplo do GreetingGhoul sobrepondo a interface de aplicativos de criptocarteiras<\/p><\/div>\n

    Como resultado, os cibercriminosos por tr\u00e1s do DoubleFinger podem assumir o controle das carteiras de criptomoedas da v\u00edtima e roubar o montante investido.<\/p>\n

    Nossos especialistas encontraram v\u00e1rias modifica\u00e7\u00f5es do DoubleFinger, algumas em que a cereja do bolo, instalam o Trojan de acesso remoto<\/a> bastante popular (pelo menos nos c\u00edrculos cibercriminosos) Remcos no sistema infectado. Seu prop\u00f3sito est\u00e1 expl\u00edcito no nome \u2013 REMote COntrol & Surveillance. Em outras palavras, o Remcos permite que os golpitas observem todas as a\u00e7\u00f5es do usu\u00e1rio e assumam o controle total do sistema infectado.<\/p>\n

    Como proteger suas criptomoedas<\/h2>\n

    As criptomoedas continuam a ser um \u00edm\u00e3 para os cibercriminosos, ent\u00e3o todos os criptoinvestidores precisam pensar muito sobre seguran\u00e7a. Falando nisso, recomendamos a leitura de nosso post recente chamado \u201cProteja seus investimentos em criptoativos em 4 passos<\/a>\u201c. Mas aqui est\u00e1 um resumo dos pontos principais:<\/p>\n