Kaspersky mütəxəssisləri Avropa, ABŞ və Latın Amerikası regionunda kripto pul kisələri sahiblərinə troyan yükləyicisi DoubleFinger vasitəsilə həyata keçirilən yeni mürəkkəb çoxmərhələli hücum aşkar ediblər. Bu, kriptovalyuta cüzdanlarından login və şifrələri oğurlamaq üçün GreetingGhoul və Remcos Remote Access Trojan-dan (RAT) proqramlarını daxil edən mürəkkəb zərərli proqramdır. Mütəxəssislər təcavüzkarların qabaqcıl üsullardan istifadə etdiklərini və yüksək səviyyədə texniki bacarıq nümayiş etdirdiklərini qeyd edirlər.
Hücum necə təşkil olunur. Hücum qurbanın e-poçtda zərərli PIF əlavəsini açmasından sonra başlayır. Bu hərəkət DoubleFinger yükləyicisinin birinci mərhələsini işə salır. GreetingGhoul oğru proqramının hər gün müəyyən bir vaxtda yerinə yetirməli olacağı bir tapşırıq yaratmaq üçün DoubleFinger-ə cəmi beş addım lazımdır.
Oğurluq proqramı özü iki komponentdən ibarətdir. Birincisi real kriptovalyuta cüzdanlarının interfeysi ilə üst-üstə düşən və istifadəçinin təsadüfən cüzdana girişi təmin edən açar ifadəni daxil edə biləcəyi saxta pəncərələr yaratmaq üçün MS WebView2 mühitindən istifadə edir. İkincisi qurbanın cihazında kriptovalyuta cüzdanları olan proqramları axtarır.
Bəzi DoubleFinger nümunələrinin Remcos RAT troyanını yüklədiyi məlum olub. Bu, təcavüzkarlara uzaqdan idarəetməni həyata keçirməyə imkan verən tanınmış kommersiya vasitəsidir. Əvvəllər ona müxtəlif təşkilatlara qarşı hədəfli hücumlarda rast gəlinib.
DoubleFinger qabıq kodlarından və steqanoqrafiyadan, yəni məlumatı gizlətmək üçün xüsusi üsullardan istifadə edir. O, həmçinin Windows COM interfeyslərindən istifadə edərək tapşırığı gizli şəkildə icra edir və uzaq prosesləri başlatmaq üçün qanuni prosesi zərərli proseslə əvəz etmək texnikasına müraciət edir – bütün bunlar hücumun işləkliyi və mürəkkəbliyini təsdiqləyir. Eyni zamanda, mütəxəssislər zərərli proqram kodunda rus dilində bir neçə mətn fraqmenti tapıblar, məsələn, komanda və idarəetmə serverinin URL-i təhrif edilmiş “Privetsvoyu” transliterasiyasında rus sözü ilə başlayır. Lakin bu, hücumların arxasında rusdilli təşkilatçıların dayandığını iddia etmək üçün kifayət deyil.
“Təcavüzkarların kriptovalyutaya marağı azalmır. DoubleFinger yükləyicisinin və GreetingGhoul zərərli proqramının arxasında duran qrup mürəkkəb, hədəfli hücumlar səviyyəsində zərərli proqram yaratmağa qadirdir. Kriptovalyuta cüzdanlarının qorunması onların istehsalçılarının, sahiblərinin və bütün maraqlı cəmiyyətin ortaq məsuliyyətidir. Ayıq qalmaq, güclü təhlükəsizlik tədbirləri tətbiq etmək və ən aktual təhdidləri başa düşmək riskləri azaltmağa və qiymətli rəqəmsal aktivlərin təhlükəsizliyini təmin etməyə kömək edəcək”, – deyə Kaspersky-nin kibertəhlükəsizlik üzrə eksperti Sergey Lojkin bildirir.
Hücum haqqında ətraflı məlumatı buradan əldə edə bilərsiniz: securelist.ru/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/107578/.
Kripto aktivləri kiberhücumlardan qorumaq üçün Kaspersky tövsiyə edir:
- birbaşa rəsmi istehsalçıdan aparat pul kisəsi alın;
- satın almadan əvvəl sındırma izlərinin olub-olmadığını yoxlayın, yəni cızıqlar, yapışqan izləri, zəif uyğunlaşdırılmış hissələr;
- istehsalçının veb saytında versiya yeniləmələrini izləyin;
- pul kisəsinin İnternetə qoşulmasını təmin edən bütün cihazları Kaspersky Premium kimi etibarlı həll ilə qoruma altına alın;
- əgər mümkün olarsa, aparat cüzdanında digər cihazlardan və hesablardakı şifrələri təkrarlamayan mürəkkəb, unikal şifrə təyin edin.