adlı yeni bir çok aşamalı yükleyici Çift Parmak Avrupa, ABD ve Latin Amerika’daki kullanıcıları hedef alan gelişmiş bir saldırıda, TebrikGhoul adlı bir kripto para hırsızı sağladığı gözlemlendi.
Kaspersky araştırmacısı Sergey Lozhkin Pazartesi günü yayınladığı bir raporda, “DoubleFinger, kurban bir e-posta iletisindeki kötü amaçlı bir PIF ekini açıp sonuçta DoubleFinger’ın yükleme aşamalarının ilkini yürüttüğünde hedef makineye dağıtılıyor.” dedi.
Saldırıların başlangıç noktası, Microsoft Windows Ekonomik Hizmet Sağlayıcı uygulamasına atıfta bulunan espexe.exe’nin, görüntü barındırma hizmeti Imgur’dan bir PNG görüntü dosyasını almaktan sorumlu kabuk kodunu yürütmek üzere tasarlanmış değiştirilmiş bir sürümüdür.
Görüntü, en sonunda, virüs bulaşmış ana bilgisayarda TebrikGhoul hırsızının yürütülmesiyle sonuçlanan dört aşamalı bir uzlaşma zincirini tetikleyen şifreli bir yükü gizlemek için steganografik hile kullanıyor.
TebrikGhoul’un dikkate değer bir yönü, şüphelenmeyen kullanıcılar tarafından girilen kimlik bilgilerini sifonlamak için yasal kripto para birimi cüzdanlarının üzerinde sahte kaplamalar oluşturmak için Microsoft Edge WebView2’yi kullanmasıdır.
DoubleFinger, TebrikGhoul’u düşürmenin yanı sıra, tehdit aktörleri tarafından son aylarda Avrupalı ve Ukraynalı kuruluşları vurmak için yaygın olarak kullanılan ticari bir truva atı olan Remcos RAT’ı da teslim ederken görüldü.
Lozhkin, analizin “gelişmiş kalıcı tehditlere (APT’ler) benzer şekilde, suç yazılımı geliştirmede yüksek düzeyde bir karmaşıklık ve beceri ortaya koyduğunu” belirtti.
“Steganografik yeteneklere sahip çok aşamalı, kabuk kodu tarzı yükleyici, gizli yürütme için Windows COM arabirimlerinin kullanımı ve uzak işlemlere enjeksiyon için süreç doppelgänging uygulamasının uygulanması, tümü iyi hazırlanmış ve karmaşık suç yazılımlarına işaret ediyor.”