Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Новый загрузчик DoubleFinger прячет стилер GreetingGhoul в PNG-файлах и подменяет интерфейс кошельков

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 03-12-2025, 07:12 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Новый загрузчик DoubleFinger использует стеганографию и сложную цепочку заражения для доставки стилера GreetingGhoul на компьютеры жертв.

Эксперты Лаборатории Касперсого обнаружили новый многоступенчатый загрузчик DoubleFinger, который доставляет стилер GreetingGhoul на компьютеры пользователей в Европе, США и Латинской Америке. Атака начинается с того, что жертва открывает вредоносное вложение PIF в электронном письме, запуская первый этап загрузчика DoubleFinger.
Первый этап представляет собой модифицированный файл espexe.exe (приложение Microsoft Windows Economical Service Provider), который выполняет зловредный шелл-код, отвечающий за загрузку PNG-изображения с сервиса Imgur. Изображение использует стеганографический прием для сокрытия зашифрованной полезной нагрузки, которая запускает четырехступенчатую цепочку компрометации, в результате которой на зараженном хосте выполняется GreetingGhoul.
Особенностью GreetingGhoul является использование Microsoft Edge WebView2 для создания поддельных наложений поверх легитимных криптовалютных кошельков, чтобы похитить учетные данные, вводимые ничего не подозревающими пользователями. Кроме того, DoubleFinger также доставляет Remcos RAT - коммерческий троян, который широко использовался злоумышленниками для атак на европейские и украинские организации в последние месяцы.
Проведенное исследование вредоносных программ DoubleFinger и GreetingGhoul указывает на высокий уровень технической подготовки их создателей, способных разрабатывать мощное вредоносное ПО, сравнимое с APT-угрозами. Многоуровневый загрузчик, который применяет шелл-коды и стеганографию, использует COM-интерфейсы Windows для скрытого выполнения и применяет метод Process Doppelgänging для интеграции в отдаленные процессы, демонстрирует высокий уровень продуманности и сложности атаки. Дополнительно, применение среды выполнения Microsoft WebView2 для создания поддельных интерфейсов для криптовалютных кошельков является еще одним показателем продвинутой тактики, используемой в данной атаке.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 05:23 AM.

Contact Us - Carder.life - Archive - Top