Kryptowährungen

Krypto-Stealer DoubleFinger bereitet gleich doppelten Ärger

Wir erklären, wie die komplexe Malware DoubleFinger den Stealer GreetingGhoul herunterlädt, der es auf Krypto-Wallets abgesehen hat.

Kaspersky Team
13 Jun 2023

Kryptowährungen stehen unter dem Beschuss aller Arten krimineller Machenschaften – von banalen Bitcoin-Mining-Betrugsfällen bis hin zu grandiosen Krypto-Diebstählen in dreistelliger Millionenhöhe.

Auf Besitzer von Kryptowährungen lauern buchstäblich an jeder Ecke neue Gefahren. Vor kurzem haben wir über gefälschte Krypto-Wallets berichtet, die genauso aussehen und funktionieren wie echte, aber Nutzer letztendlich bis auf den letzten Cent ausrauben. Nun haben unsere Experten eine völlig neue Bedrohung entdeckt: einen ausgeklügelten Angriff unter Verwendung des DoubleFinger-Loaders, der zudem seine Freunde in Form des Krypto-Stealers GreetingGhoul und des Remote-Access-Trojaners Remcos im Gepäck hat. Aber eines nach dem anderen…

Die technisch komplexe Malware #DoubleFinger versteckt sich in PNG-Bildern und lädt sowohl den Wallet-Stealer #GreetingGhoul als auch den Remote-Access-Trojaner Remcos herunter. #Crypto
Tweet

So installiert DoubleFinger GreetingGhoul

Unsere Experten haben festgestellt, dass der Angriff auf einem hohen technischen Niveau und in mehreren Phasen erfolgt, weshalb er einem APT-Angriff (Advanced Persistent Threat) ähnelt. Eine Infektion mit DoubleFinger beginnt mit einer E-Mail, die eine schädliche PIF-Datei enthält. Sobald der Empfänger den Anhang öffnet, wird eine Kette von Ereignissen ausgelöst, die wie folgt abläuft:

Phase 1. DoubleFinger führt einen Shellcode aus, der eine Datei im PNG-Format von der Image-Sharing-Plattform Imgur.com herunterlädt. Allerdings handelt es sich dabei nicht wirklich um ein Bild: Die Datei enthält mehrere DoubleFinger-Komponenten in verschlüsselter Form, die in den nachfolgenden Phasen des Angriffs zum Einsatz kommen. Dazu gehören ein Loader für die zweite Angriffsphase, eine legitime java.exe-Datei und eine weitere PNG-Datei, die später, in der vierten Phase, zum Einsatz kommt.

Phase 2. In Phase 2 wird erst der DoubleFinger-Loader mit der oben erwähnten legitimen java.exe-Datei, und dann ein weiterer Shellcode ausgeführt, der die dritte Stufe von DoubleFinger herunterlädt, entschlüsselt und startet.

Phase 3. In dieser Phase führt DoubleFinger eine Reihe von Aktionen aus, um die auf dem Computer installierte Sicherheitssoftware zu umgehen. Anschließend entschlüsselt und startet der Loader die vierte Phase, die sich in der in der ersten Phase erwähnten PNG-Datei befindet. Übrigens enthält diese PNG-Datei nicht nur den Schadcode, sondern auch das Bild, das der Malware ihren Namen verschafft hat:

Die von DoubleFinger verwendete PNG-Datei mit dem Schadcode, der in Phase 4 zum Einsatz kommt

Die zwei Finger denen der Loader DoubleFinger seinen Namen zu verschulden hat

Phase 4. In diesem Schritt startet DoubleFinger die fünfte Stufe mithilfe einer Technik namens Process Doppelgänging, bei der der legitime Prozess durch einen modifizierten Prozess ersetzt wird, der die Payload der fünften Phase enthält.

Phase 5. Im Anschluss an die oben genannten Manipulationen beginnt DoubleFinger mit seiner eigentlichen Aufgabe: dem Laden und Entschlüsseln einer weiteren PNG-Datei, die die endgültige Payload enthält. Hierbei handelt es sich um den Cryptostealer GreetingGhoul, der sich im System installiert und in der Aufgabenplanung so geplant wird, dass er täglich zu einer bestimmten Zeit ausgeführt wird.

So stiehlt GreetingGhoul Krypto-Wallets

Nachdem der DoubleFinger-Loader seine Arbeit getan hat, kommt GreetingGhoul direkt ins Spiel. Diese Malware enthält zwei sich ergänzende Komponenten:

eine, die Krypto-Wallet-Anwendungen im System erkennt und Daten stiehlt, die für die Angreifer von Interesse sind (private Schlüssel und Seed-Phrasen);
eine, die die Schnittstelle von Kryptowährungsanwendungen überlagert und Benutzereingaben abfängt.

GreetingGhoul überschreibt das Interface von Krypto-Apps

So überlagert GreetingGhoul das Interface von Krypto-Wallet-Apps

Auf diese Weise können die Cyberkriminellen, die hinter DoubleFinger stecken, die Kontrolle über die Krypto-Wallets des Opfers übernehmen und Gelder von ihnen abheben.

Unsere Experten haben mehrere DoubleFinger-Modifikationen gefunden, von denen einige – und das ist das Tüpfelchen auf dem i – den (in Cyberkriminellen-Kreisen) recht verbreiteten Remote-Access-Trojaner Remcos auf dem infizierten System installieren. Das Ziel des Trojaners gibt bereits sein Name preis: REMote COntrol & Surveillance. Mit anderen Worten: Remcos ermöglicht es Cyberkriminellen, alle Benutzeraktionen zu überwachen und die volle Kontrolle über das infizierte System zu übernehmen.

So schützen Sie Ihre Krypto-Wallets

Kryptowährungen sind weiterhin ein Magnet für Cyberkriminelle, weshalb sich alle Kryptoinvestoren Gedanken über das Thema Sicherheit machen sollten. In diesem Zusammenhang empfehlen wir Ihnen übrigens die Lektüre unseres jüngsten Beitrags „So schützen Sie Ihre Krypto-Investitionen: 4 wichtige Schritte zu mehr Sicherheit„. In der Zwischenzeit finden Sie hier eine Zusammenfassung der Kernpunkte:

Rechnen Sie mit Betrugsversuchen. Die Welt der Kryptowährungen ist voll von Betrügern jeglicher Couleur. Achten Sie also ständig auf mögliche Fallstricke und überprüfen Sie alle Angaben noch einmal gründlich.
Setzen Sie nicht alles auf eine Karte. Kombinieren Sie Hot Wallets (für aktuelle Transaktionen) und Cold Wallets (für langfristige Investitionen).
Informieren Sie sich, wie Cyberkriminelle Cold Wallets angreifen können.
Kaufen Sie nur von offiziellen Quellen: Erwerben Sie Hardware-Wallets nur von offiziellen und vertrauenswürdigen Quellen, z. B. von der Website des Herstellers oder von autorisierten Händlern; so vermeiden Sie den Kauf eines gefälschten Krypto-Wallets.
Augen auf bei Anzeichen von Manipulationen: Bevor Sie ein neues Hardware-Wallet verwenden, sollten Sie es auf mögliche Manipulationsmerkmale wie Kratzer, Klebepunkte oder nicht zusammenpassende Komponenten überprüfen.
Überprüfen Sie die Firmware: Stellen Sie immer sicher, dass die Firmware der Hardware-Wallet legitim und aktuell ist. Prüfen Sie dazu auf der Website des Herstellers, ob die neueste Version vorliegt.
Geben Sie den Recovery Seed für Ihr Hardware-Wallet niemals auf einem Computer ein. Ein Anbieter von Hardware-Wallets wird Sie niemals darum bitten.
Schützen Sie Passwörter, Schlüssel und Seed-Phrasen. Verwenden Sie starke und eindeutige Passwörter, bewahren Sie diese sicher auf, und geben Sie Ihre privaten Schlüssel oder Seed-Phrasen unter keinen Umständen an Dritte weiter.
Schützen Sie sich, indem Sie eine zuverlässige Schutzlösung auf allen Geräten, die Sie zur Verwaltung von Krypto-Wallets verwenden, installieren.

Ihre persönliche Bedrohungslandschaft kennen

Sie können das Konzept einer Bedrohungslandschaft, wie es in der Unternehmenssicherheit verwendet wird, auf sich selbst anwenden, um sich leichter schützen zu können.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Krypto-Stealer DoubleFinger bereitet gleich doppelten Ärger

So installiert DoubleFinger GreetingGhoul

So stiehlt GreetingGhoul Krypto-Wallets

So schützen Sie Ihre Krypto-Wallets

Was Krypto-Drainer sind und wie man sie abwehrt

Randstorm: verwundbare Krypto-Wallets aus den 2010er Jahren

Ihre persönliche Bedrohungslandschaft kennen

Tipps

Werbung im Dienste von… Geheimdiensten

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie