{"id":26408,"date":"2023-06-12T23:11:02","date_gmt":"2023-06-13T05:11:02","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26408"},"modified":"2023-06-12T23:11:02","modified_gmt":"2023-06-13T05:11:02","slug":"doublefinger-crypto-stealer","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/doublefinger-crypto-stealer\/26408\/","title":{"rendered":"DoubleFinger: el loader que roba criptomonedas"},"content":{"rendered":"

Las criptomonedas est\u00e1n sometidas a todo tipo de estrategias criminales, desde las estafas de miner\u00eda de Bitcoin<\/a> corrientes hasta el robo de grandes cantidades por valor de cientos de millones de d\u00f3lares<\/a>.<\/p>\n

Para los propietarios de criptomonedas, los peligros acechan literalmente a cada paso. De hecho, hace poco hablamos sobre los monederos de criptomonedas falsos<\/a>, que no solo se parecen, sino que adem\u00e1s funcionan como los aut\u00e9nticos, pero acaban robando todo tu dinero. Ahora, nuestros expertos han descubierto<\/a> una nueva amenaza: un ataque sofisticado que usa el loader<\/em> DoubleFinger, acompa\u00f1ado del ladr\u00f3n de criptomonedas GreetingGhoul y el troyano de acceso remoto Remcos. Pero lo primero es lo primero\u2026<\/p>\n

C\u00f3mo instala DoubleFinger el ladr\u00f3n de criptomonedas GreetingGhoul<\/h2>\n

Nuestros expertos percibieron el alto nivel t\u00e9cnico del ataque y su naturaleza de m\u00faltiples etapas, que lo asemeja a un ataque de amenaza persistente avanzada (APT)<\/a>. La infecci\u00f3n comienza con un correo electr\u00f3nico con un archivo PIF malicioso que, una vez abierto por el usuario, desencadena una serie de eventos:<\/p>\n

Etapa 1.<\/strong> DoubleFinger ejecuta una shellcode<\/a> que descarga un archivo en formato PNG desde la plataforma de intercambio de im\u00e1genes Imgur.com. Pero en realidad no es una imagen: el archivo contiene varios componentes de DoubleFinger en forma cifrada que se utilizan en las etapas posteriores del ataque. Estos incluyen un loader listo para usar en la segunda etapa del ataque, un archivo java.exe leg\u00edtimo y otro archivo PNG que se implementar\u00e1 m\u00e1s tarde, en la cuarta etapa.<\/p>\n

Etapa 2.<\/strong> El loader de la segunda etapa de DoubleFinger se ejecuta con el archivo java.exe leg\u00edtimo mencionado anteriormente, despu\u00e9s de lo cual ejecuta otra shellcode que descarga, descifra e inicia la tercera etapa de DoubleFinger.<\/p>\n

Etapa 3.<\/strong> En esta etapa, DoubleFinger realiza una serie de acciones para eludir el software de seguridad instalado en el ordenador. A continuaci\u00f3n, el loader descifra y lanza la cuarta etapa, que se encuentra en el archivo PNG mencionado en la primera. Por cierto, este archivo contiene no solo el c\u00f3digo malicioso, sino tambi\u00e9n la imagen que concede su nombre al malware:<\/p>\n

\"El<\/a>

Los dos dedos que dan nombre a DoubleFinger.<\/p><\/div>\n

Etapa 4.<\/strong> En este paso, DoubleFinger inicia la quinta etapa utilizando una t\u00e9cnica llamada Process Doppelg\u00e4nging<\/a>, mediante la cual reemplaza el proceso leg\u00edtimo con uno modificado que contiene la carga \u00fatil de la quinta etapa.<\/p>\n

Etapa 5.<\/strong> Despu\u00e9s de todas las manipulaciones anteriores, DoubleFinger se dedica a hacer aquello para lo que realmente se ha dise\u00f1ado: cargar y descifrar otro archivo PNG, pero este con la carga \u00fatil final. Se trata del ladr\u00f3n de criptomonedas GreetingGhoul, que se instala en el sistema y est\u00e1 programado en el Planificador de tareas para ejecutarse diariamente en un momento determinado.<\/p>\n

C\u00f3mo roba GreetingGhoul los monederos de criptomonedas<\/h2>\n

Una vez que el loader DoubleFinger ha hecho su trabajo, GreetingGhoul entra directamente en juego. Este malware contiene dos componentes complementarios:<\/p>\n

    \n
  1. uno que detecta aplicaciones de monederos de criptomonedas en el sistema y roba datos de inter\u00e9s para los atacantes (claves privadas y frases semilla);<\/li>\n
  2. uno que se superpone a la interfaz de las aplicaciones de criptomonedas e intercepta los datos que introduce el usuario.<\/li>\n<\/ol>\n
    \"GreetingGhoul<\/a>

    Ejemplo de GreetingGhoul superpuesto a la interfaz de las aplicaciones de monederos de criptomonedas.<\/p><\/div>\n

    Como resultado, los ciberdelincuentes que est\u00e1n detr\u00e1s de DoubleFinger pueden tomar el control de los monederos de criptomonedas de las v\u00edctimas y retirar todos sus fondos.<\/p>\n

    Nuestros expertos han encontrado varias modificaciones de DoubleFinger. Algunas, las m\u00e1s peligrosas, instalan en el sistema el troyano de acceso remoto<\/a> Remcos ya habitual (entre los ciberdelincuentes), cuyo propio nombre indica su prop\u00f3sito REM<\/strong>ote CO<\/strong>ntrol & S<\/strong>urveillance, control y vigilancia remota en ingl\u00e9s. Es decir, Remcos permite a los ciberdelincuentes observar todas las acciones de los usuarios y tomar el control total del sistema infectado.<\/p>\n

    C\u00f3mo proteger tus monederos de criptomonedas<\/h2>\n

    Las criptomonedas siguen siendo un im\u00e1n para los ciberdelincuentes, por lo que los inversores de criptomonedas deben tener muy en cuenta la seguridad. Por cierto, hablando de ello, te recomendamos leer nuestra publicaci\u00f3n: C\u00f3mo proteger tus criptoactivos en 4 pasos<\/em><\/a>. De momento, te dejamos con un resumen de los aspectos principales:<\/p>\n