Como muestra la investigación de Kaspersky, el malware multifase DoubleFinger inicia el ataque cuando la víctima, sin darse cuenta, abre un archivo PIF adjunto malicioso recibido por correo electrónico. Esta acción desencadena la ejecución de la primera fase, que se vale de un binario DLL de Windows modificado para ejecutar posteriormente un shellcode (código usado para la ejecución de actividad maliciosa en el equipo de la víctima) que descarga una imagen PNG que, a su vez, incluye un payload (carga útil) que se lanzará más adelante.
En total, DoubleFinger despliega cinco fases hasta conseguir programar GreetingGhoul todos los días a una hora específica en el equipo de la víctima. GreetingGhoul está diseñado para robar credenciales de criptomonedas e incluye dos componentes: la primera, MS WebView2, que crea superposiciones en las interfaces de la billetera de criptomonedas; la segunda, un servicio que roba información confidencial como claves, frases de recuperación, etcétera.
Además de GreetingGhoul, Kaspersky también encontró evidencias de DoubleFinger que descargaban Remcos RAT. Remcos es una RAT comercial muy conocida que los ciberdelincuentes suelen utilizar en sus ataques contra empresas y organizaciones. El shellcode cuenta con capacidades de esteganografía (ocultar mensajes dentro de mensajes) y usa interfaces COM de Windows para una ejecución silenciosa. Estas características indican que es un software complejo y bien diseñado.
“El interés de los ciberdelincuentes por las criptomonedas crece al ritmo que lo hacen estos criptoactivos entre la sociedad. El grupo que está detrás de DoubleFinger y GreetingGhoul es muy hábil al desarrollar software delictivo, que en este caso es muy similar a las amenazas persistentes avanzadas (APT). La protección de las billeteras criptográficas es responsabilidad de los proveedores de wallets, las personas y la comunidad de criptomonedas en general. Si se está alerta, informado y se implementan medidas de seguridad sólidas es posible mitigar los riesgos que se ciernen sobre estos valiosos activos digitales”, explica Sergey Lozhkin, analista principal de seguridad en GReAT de Kaspersky.
Para mantener los criptoactivos a salvo, Kaspersky recomienda:
- Comprar billeteras solo en fuentes oficiales y vendedores autorizados. Con las hardware wallets, nunca te van a pedir introducir la frase semilla en el ordenador.
- Comprobar que la wallet no haya sido manipulada. Los restos de pegamento, rasguños y componentes extraños deben hacer sospechar de que se está ante una billetera física manipulada previamente.
- Verificar el firmware y tenerlo siempre actualizado desde la página oficial.
- Mantener a salvo la frase semilla. Al configurar el wallet hay que asegurarse de anotar y guardar a buen recaudo la frase inicial. Una solución de seguridad de confianza.
- Usar una contraseña fuerte. Evitar contraseñas fáciles de adivinar y no reutilizar las de otras cuentas.
