Comme le montre l’enquête de Kaspersky, le loader DoubleFinger lance son attaque lorsque la victime ouvre à son insu une pièce jointe PIF malveillante contenue dans un mail. Cette action déclenche l’exécution de la première étape du loader, un binaire DLL Windows modifié, à la suite de quoi un shellcode malveillant est exécuté. Ensuite, le shellcode télécharge une image PNG qui contient une charge utile censée être lancée ultérieurement dans le cadre de l’attaque.

le fichier .png contenant un shellcode intégré
Au total, il faut cinq étapes à DoubleFinger pour concevoir une procédure programmée qui exécute le voleur GreetingGhoul chaque jour, à une heure donnée. Il télécharge ensuite un autre fichier PNG, le décrypte et l’exécute. GreetingGhoul est un stealer d’identifiants relatifs aux crypto-monnaies, qui se compose de deux éléments : le premier utilise MS WebView2 pour créer des superpositions sur les interfaces des portefeuilles de crypto-monnaies, et le second est conçu pour détecter les applications des portefeuilles crypto et en voler les informations sensibles, telles que les clés, les phrases de récupération, etc.
En plus de GreetingGhoul, Kaspersky a également trouvé des échantillons DoubleFinger qui téléchargeaient le RAT Remcos. Remcos est un cheval de Troie d’accès à distance commercial bien connu des services de détection, souvent utilisé par les cybercriminels dans des attaques ciblées contre des entreprises et des organisations. Le loader en plusieurs étapes en shellcode doté de capacités de stéganographie, l’utilisation d’interfaces Windows COM pour une exécution furtive et la mise en œuvre du dédoublement de processus pour l’injection dans des programmes distants sont autant d’éléments qui indiquent qu’il s’agit là d’un logiciel criminel bien conçu et complexe.
« La valeur et la popularité des crypto-monnaies ne cessent d’augmenter, tout comme l’intérêt des cybercriminels à leur égard. Le groupe à l’origine du chargeur DoubleFinger et du logiciel malveillant GreetingGhoul se distingue comme un acteur sophistiqué doté de compétences élevées en matière de développement de logiciels malveillants, s’apparentant à des menaces persistantes avancées. La protection des portefeuilles de cryptomonnaies est la responsabilité commune des fournisseurs de portefeuilles, des particuliers qui les utilisent et de l’ensemble de la communauté crypto. C’est en restant vigilants, en mettant en œuvre des mesures de sécurité robustes, et en se tenant informés des derniers renseignements sur les menaces relatives aux crypto-monnaies, qu’il sera possible d’atténuer les risques et de garantir la sécurité des actifs numériques de chacun », déclare Sergey Lozhkin, chercheur principal en sécurité au GReAT de Kaspersky.

Pour garantir la sécurité des actifs en crypto-monnaie, les experts de Kaspersky recommandent également :
• Achetez auprès de sources officielles : N’achetez des portefeuilles matériels qu’auprès de sources officielles et fiables, comme le site web du fabricant ou des revendeurs agréés.
• Vérifiez s’il y a des signes de falsification : Avant d’utiliser un nouveau portefeuille physique, vérifiez qu’il ne présente pas de signes d’altération, tels que des rayures, de la colle ou des composants inadaptés.
• Vérifiez le micrologiciel : Vérifiez toujours que le micrologiciel du porte-monnaie matériel est authentique et à jour. Pour ce faire, consultez le site web du fabricant pour obtenir la dernière version.
• Sécurisez votre seed phrase : Lorsque vous configurez votre porte-monnaie matériel, veillez à noter et à stocker en toute sécurité votre seed phrase. Une solution de sécurité fiable, telle que Kaspersky Premium, protégera vos données cryptographiques stockées sur votre téléphone portable ou sur votre ordinateur.
• Utilisez un mot de passe fort : Si votre porte-monnaie matériel prévoit un mot de passe, utilisez-en un qui soit fort et unique. Évitez d’utiliser des mots de passe faciles à deviner ou de réutiliser les mots de passe d’autres comptes.