{"id":30219,"date":"2023-06-13T14:37:48","date_gmt":"2023-06-13T12:37:48","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30219"},"modified":"2023-06-15T08:07:33","modified_gmt":"2023-06-15T06:07:33","slug":"doublefinger-crypto-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/doublefinger-crypto-stealer\/30219\/","title":{"rendered":"Krypto-Stealer DoubleFinger bereitet gleich doppelten \u00c4rger"},"content":{"rendered":"

Kryptow\u00e4hrungen stehen unter dem Beschuss aller Arten krimineller Machenschaften \u2013 von banalen Bitcoin-Mining-Betrugsf\u00e4llen<\/a> bis hin zu grandiosen Krypto-Diebst\u00e4hlen in dreistelliger Millionenh\u00f6he<\/a>.<\/p>\n

Auf Besitzer von Kryptow\u00e4hrungen lauern buchst\u00e4blich an jeder Ecke neue Gefahren. Vor kurzem haben wir \u00fcber gef\u00e4lschte Krypto-Wallets<\/a> berichtet, die genauso aussehen und funktionieren wie echte, aber Nutzer letztendlich bis auf den letzten Cent ausrauben. Nun haben unsere Experten eine v\u00f6llig neue Bedrohung entdeckt<\/a>: einen ausgekl\u00fcgelten Angriff unter Verwendung des DoubleFinger-Loaders, der zudem seine Freunde in Form des Krypto-Stealers GreetingGhoul und des Remote-Access-Trojaners Remcos im Gep\u00e4ck hat. Aber eines nach dem anderen\u2026<\/p>\n

Die technisch komplexe Malware #DoubleFinger versteckt sich in PNG-Bildern und l\u00e4dt sowohl den Wallet-Stealer #GreetingGhoul als auch den Remote-Access-Trojaner Remcos herunter. #Crypto<\/p>Tweet<\/a><\/blockquote>\n

So installiert DoubleFinger GreetingGhoul<\/h2>\n

Unsere Experten haben festgestellt, dass der Angriff auf einem hohen technischen Niveau und in mehreren Phasen erfolgt, weshalb er einem APT-Angriff (Advanced Persistent Threat)<\/a> \u00e4hnelt. Eine Infektion mit DoubleFinger beginnt mit einer E-Mail, die eine sch\u00e4dliche PIF-Datei enth\u00e4lt. Sobald der Empf\u00e4nger den Anhang \u00f6ffnet, wird eine Kette von Ereignissen ausgel\u00f6st, die wie folgt abl\u00e4uft:<\/p>\n

Phase 1.<\/strong> DoubleFinger f\u00fchrt einen Shellcode<\/a> aus, der eine Datei im PNG-Format von der Image-Sharing-Plattform Imgur.com herunterl\u00e4dt. Allerdings handelt es sich dabei nicht wirklich um ein Bild: Die Datei enth\u00e4lt mehrere DoubleFinger-Komponenten in verschl\u00fcsselter Form, die in den nachfolgenden Phasen des Angriffs zum Einsatz kommen. Dazu geh\u00f6ren ein Loader f\u00fcr die zweite Angriffsphase, eine legitime java.exe-Datei und eine weitere PNG-Datei, die sp\u00e4ter, in der vierten Phase, zum Einsatz kommt.<\/p>\n

Phase 2.<\/strong> In Phase 2 wird erst der DoubleFinger-Loader mit der oben erw\u00e4hnten legitimen java.exe-Datei, und dann ein weiterer Shellcode ausgef\u00fchrt, der die dritte Stufe von DoubleFinger herunterl\u00e4dt, entschl\u00fcsselt und startet.<\/p>\n

Phase 3.<\/strong> In dieser Phase f\u00fchrt DoubleFinger eine Reihe von Aktionen aus, um die auf dem Computer installierte Sicherheitssoftware zu umgehen. Anschlie\u00dfend entschl\u00fcsselt und startet der Loader die vierte Phase, die sich in der in der ersten Phase erw\u00e4hnten PNG-Datei befindet. \u00dcbrigens enth\u00e4lt diese PNG-Datei nicht nur den Schadcode, sondern auch das Bild, das der Malware ihren Namen verschafft hat:<\/p>\n

\"Die<\/a>

Die zwei Finger denen der Loader DoubleFinger seinen Namen zu verschulden hat<\/p><\/div>\n

\u00a0<\/p>\n

Phase 4.<\/strong> In diesem Schritt startet DoubleFinger die f\u00fcnfte Stufe mithilfe einer Technik namens Process Doppelg\u00e4nging<\/em><\/a>, bei der der legitime Prozess durch einen modifizierten Prozess ersetzt wird, der die Payload der f\u00fcnften Phase enth\u00e4lt.<\/p>\n

Phase 5.<\/strong> Im Anschluss an die oben genannten Manipulationen beginnt DoubleFinger mit seiner eigentlichen Aufgabe: dem Laden und Entschl\u00fcsseln einer weiteren PNG-Datei, die die endg\u00fcltige Payload enth\u00e4lt. Hierbei handelt es sich um den Cryptostealer GreetingGhoul, der sich im System installiert und in der Aufgabenplanung so geplant wird, dass er t\u00e4glich zu einer bestimmten Zeit ausgef\u00fchrt wird.<\/p>\n