El robo de criptomonedas no es algo nuevo, DoubleFinger no es la excepción. Por ejemplo, a principios de la década de 2010, la bolsa de bitcoins Mt. Gox sufrió el robo de muchos bitcoins.
Más adelante, los operadores del ransomware Coinvault, y otros atacantes, también apuntaban a robar monederos Bitcoin.
En los últimos años, el robo de criptomonedas se ha mantenido como una actividad altamente atractiva para los ciberdelincuentes. La creciente popularidad de las criptomonedas, como el Bitcoin y el Ethereum, ha llevado consigo un aumento significativo en los intentos de robo por parte de estos actores maliciosos.
En esta línea, ha surgido una nueva amenaza que merece nuestra atención: el cargador multietapa DoubleFinger. Este sofisticado malware se ha convertido en una preocupación creciente para los usuarios de criptomonedas y las empresas que operan en el ámbito digital. DoubleFinger se destaca por su capacidad para infiltrarse en los sistemas informáticos y robar criptomonedas de manera sigilosa y eficiente.
El modus operandi de DoubleFinger implica la utilización de correos electrónicos fraudulentos como medio de distribución. Los ciberdelincuentes envían mensajes que aparentan ser legítimos, pero contienen archivos adjuntos maliciosos en formato PIF. Estos archivos están diseñados para engañar a los usuarios desprevenidos, llevándolos a abrirlos sin sospechar la amenaza que se oculta dentro.
Cuando la víctima cae en la trampa y abre el archivo adjunto PIF malicioso, se activa la primera etapa del cargador DoubleFinger. Esta etapa inicial es la puerta de entrada para que el malware se instale en el equipo objetivo. Una vez dentro del sistema, el malware comienza su tarea de robo de criptomonedas, sin que el usuario se percate de lo que está ocurriendo en segundo plano.
Es importante destacar que DoubleFinger es solo un ejemplo de la sofisticación y la evolución constante de las tácticas utilizadas por los ciberdelincuentes en el ámbito de la ciberdelincuencia relacionada con criptomonedas. Estos actores maliciosos están en constante búsqueda de nuevas formas de aprovecharse de los usuarios desprevenidos y vulnerar la seguridad de las plataformas de criptomonedas.
Ante esta creciente amenaza, es crucial que los usuarios adopten medidas de seguridad y precaución adicionales al interactuar con correos electrónicos y archivos adjuntos. Se recomienda encarecidamente verificar la autenticidad de los remitentes, evitar abrir archivos adjuntos de fuentes desconocidas y mantener actualizados los sistemas de seguridad informática.
En resumen, el robo de criptomonedas sigue siendo una actividad atractiva para los ciberdelincuentes, y la aparición del cargador multietapa DoubleFinger representa una amenaza significativa en este ámbito. La concienciación, la educación y la adopción de buenas prácticas de seguridad son fundamentales para protegerse contra este tipo de ataques y salvaguardar nuestras criptomonedas.
DoubleFinger, primera etapa
La primera etapa del cargador DoubleFinger, conocida como “espexe.exe”, es un archivo binario modificado que se presenta como una aplicación legítima de Proveedor de Servicios Económicos de MS Windows. Sin embargo, este archivo ha sido alterado maliciosamente para llevar a cabo sus propios objetivos nefastos.
El binario “espexe.exe” contiene una manipulación en la función DialogFunc, la cual ha sido parchada de manera que ejecuta un shellcode malicioso. El shellcode es un conjunto de instrucciones de bajo nivel que realiza acciones específicas en el sistema comprometido.
Una de las primeras acciones que lleva a cabo el shellcode es descargar una imagen PNG desde el sitio Imgur.com. Esta imagen actúa como un contenedor para ocultar la carga útil cifrada del malware. Utilizando funciones de la API por hash, el shellcode resuelve las funciones necesarias para realizar esta descarga de manera encubierta.
Una vez que la imagen PNG ha sido descargada exitosamente, el shellcode examina los bytes mágicos “0xea79a5c6” dentro de la imagen. Estos bytes mágicos actúan como una firma o marca distintiva que indica la presencia de la carga útil cifrada en la imagen.
Al encontrar los bytes mágicos, el shellcode extrae y descifra la carga útil oculta dentro de la imagen. Esta carga útil puede incluir el código malicioso real que se ejecutará en el sistema comprometido, permitiendo así al cargador DoubleFinger llevar a cabo su objetivo de robar criptomonedas de forma sigilosa.
Estos detalles técnicos resaltan la complejidad y sofisticación del cargador DoubleFinger. Los ciberdelincuentes han utilizado diversas técnicas, como la manipulación de funciones, el uso de imágenes como contenedores cifrados y la búsqueda de bytes mágicos para ocultar y ejecutar su carga útil maliciosa.
Es fundamental que los usuarios estén conscientes de estos métodos y mantengan sus sistemas actualizados con las últimas medidas de seguridad. La adopción de buenas prácticas, como la verificación de la autenticidad de los archivos y el uso de soluciones antivirus actualizadas, ayudará a mitigar el riesgo de infección por este tipo de malware y a proteger sus criptomonedas.
 |  |
Función DialogFunc real (izquierda) y función parchada con shellcode (derecha)
La carga útil cifrada contiene los siguientes archivos:
- un PNG con la carga útil de la cuarta etapa;
- un blob de datos cifrado;
- un binario java.exe legítimo, utilizado para la carga lateral de la DLL;
- el cargador DoubleFinger de la segunda etapa
DoubleFinger, segunda etapa
La segunda etapa del cargador DoubleFinger implica la ejecución de un shellcode adicional que se carga cuando se ejecuta un binario Java legítimo ubicado en el mismo directorio. Este archivo en particular tiene el nombre “msvcr100.dll” y, al igual que las etapas anteriores, ha sido parchado para funcionar de manera maliciosa.
El binario “msvcr100.dll” sigue manteniendo su apariencia de ser un archivo legítimo, pero ha sido modificado para incluir una estructura y funcionalidad similar a la primera y segunda etapa. Al ejecutarse, este archivo desencadena la carga del shellcode de la segunda etapa del cargador DoubleFinger.
El shellcode de la segunda etapa, una vez activado, se encarga de cargar, descifrar y finalmente ejecutar el shellcode correspondiente a la tercera etapa del cargador. Esta tercera etapa podría contener la carga útil final del malware, la cual estaría diseñada específicamente para llevar a cabo el robo de criptomonedas y otras actividades maliciosas.
Esta compleja secuencia de etapas y shellcodes demuestra la sofisticación y el enfoque meticuloso utilizado por los creadores del cargador DoubleFinger. Al aprovechar binarios legítimos y parcharlos con funcionalidad maliciosa, los ciberdelincuentes pueden evadir las defensas de seguridad y ejecutar sus ataques de manera encubierta.
Es fundamental destacar que la detección y la protección contra este tipo de malware requieren soluciones de seguridad actualizadas y herramientas especializadas. Los usuarios deben estar atentos a las actualizaciones de seguridad y seguir las mejores prácticas para minimizar los riesgos asociados con el robo de criptomonedas y otras amenazas cibernéticas.
La evolución constante de los cargadores y las técnicas utilizadas por los ciberdelincuentes resalta la importancia de la educación en ciberseguridad y la necesidad de mantenerse informado sobre las últimas tendencias y amenazas en el ámbito de la ciberdelincuencia.
DoubleFinger, tercera etapa
El shellcode de la tercera etapa del cargador DoubleFinger presenta diferencias significativas en comparación con las etapas anteriores. Este shellcode utiliza llamadas de bajo nivel a la API de Windows para llevar a cabo sus funciones y elude los hooks establecidos por soluciones de seguridad.
Una de las tácticas utilizadas en esta etapa es la carga y el mapeo de “ntdll.dll” en la memoria del proceso. Al realizar este proceso, el cargador DoubleFinger busca evitar ser detectado por soluciones de seguridad que puedan monitorear y analizar el comportamiento de las API estándar.
Una vez que se ha completado el proceso de carga y mapeo de “ntdll.dll”, el siguiente paso consiste en descifrar y ejecutar la carga útil de la cuarta etapa del malware. Como se mencionó previamente, esta carga útil se encuentra ubicada en el archivo PNG previamente mencionado.
A diferencia del archivo PNG descargado en etapas anteriores, el archivo PNG utilizado en la cuarta etapa sí muestra una imagen válida. Sin embargo, el método de esteganografía empleado en esta etapa es relativamente sencillo. Los datos necesarios para la ejecución del cargador DoubleFinger se recuperan a partir de desplazamientos específicos dentro de la imagen.
Esta técnica de ocultamiento de datos dentro de imágenes muestra una vez más la ingeniosidad de los ciberdelincuentes para evadir la detección y mantener sus actividades maliciosas en secreto. A pesar de su simplicidad, este método de esteganografía permite que los datos de la carga útil sean recuperados de forma efectiva y ejecutados en el sistema comprometido.
La capacidad del cargador DoubleFinger para adaptarse y emplear diversas técnicas a lo largo de sus múltiples etapas refuerza la necesidad de contar con soluciones de seguridad actualizadas y una postura de ciberseguridad proactiva. Los usuarios deben mantenerse informados sobre las últimas amenazas y adoptar medidas de seguridad robustas para proteger sus sistemas y activos digitales.
El archivo aa.png con la cuarta etapa incrustada
DoubleFinger, cuarta etapa
La cuarta etapa del cargador DoubleFinger presenta un shellcode relativamente simple en comparación con las etapas anteriores. Su principal objetivo es localizar y ejecutar la quinta etapa del malware, la cual se encuentra contenida dentro del propio shellcode de la cuarta etapa.
Para lograr esto, el shellcode de la cuarta etapa utiliza una técnica conocida como “Process Doppelgänging”. Esta técnica consiste en crear una copia de un proceso legítimo y luego reemplazar su código y recursos con los del malware.
Al emplear Process Doppelgänging, el cargador DoubleFinger puede engañar a los sistemas de seguridad y evadir la detección al utilizar un proceso legítimo como vehículo para ejecutar la quinta etapa del malware. Esta técnica es especialmente eficaz porque el proceso legítimo utilizado como base para la duplicación es reconocido como seguro por los sistemas de seguridad.
Una vez que se ha llevado a cabo la técnica de Process Doppelgänging, se inicia la ejecución de la quinta etapa del cargador DoubleFinger. En esta etapa, es probable que se encuentren funcionalidades más avanzadas y peligrosas del malware, destinadas a la ejecución de acciones maliciosas como el robo de criptomonedas.
Es importante resaltar que la utilización de Process Doppelgänging representa un desafío adicional para las soluciones de seguridad, ya que dificulta la detección y el análisis del malware. Los ciberdelincuentes están constantemente buscando nuevas técnicas y métodos para evadir las defensas de seguridad y maximizar el éxito de sus ataques.
En respuesta a esta amenaza en constante evolución, es crucial que los usuarios mantengan sus sistemas y soluciones de seguridad actualizados, así como también sigan buenas prácticas de ciberseguridad, como evitar la descarga de archivos o la apertura de correos electrónicos sospechosos.
La complejidad y sofisticación de las etapas del cargador DoubleFinger subrayan la importancia de contar con una estrategia integral de seguridad cibernética y una mentalidad proactiva para protegerse contra este tipo de amenazas en constante evolución.
DoubleFinger, quinta etapa
En la quinta y última etapa del cargador DoubleFinger, se lleva a cabo una serie de acciones adicionales que amplían el alcance de las actividades maliciosas. En esta etapa, se crea una tarea programada que se ejecuta diariamente a una hora específica y tiene como objetivo principal la ejecución de un “stealer” conocido como GreetingGhoul.
El cargador DoubleFinger configura la tarea programada para que, en el momento programado, descargue un archivo PNG adicional. Sin embargo, en realidad, este archivo PNG es un binario cifrado de GreetingGhoul al que se le ha añadido una cabecera PNG válida. Este enfoque engañoso permite ocultar el verdadero contenido del archivo y evadir las medidas de seguridad que podrían detectar la presencia de un archivo ejecutable malicioso.
Una vez que se ha descargado el archivo PNG cifrado y se encuentra en el sistema comprometido, el cargador DoubleFinger procede a descifrarlo. La clave de cifrado necesaria para desbloquear el archivo se encuentra en la propia estructura del cargador, lo que permite a la quinta etapa acceder a ella y realizar la desencriptación correspondiente.
Una vez descifrado, el archivo binario de GreetingGhoul es ejecutado. GreetingGhoul es un tipo de “stealer” que está diseñado específicamente para robar información confidencial, como credenciales de inicio de sesión, datos de tarjetas de crédito y otra información personal sensible. La ejecución de este “stealer” permite a los ciberdelincuentes obtener acceso a datos valiosos y comprometer aún más la seguridad y privacidad de las víctimas.
El establecimiento de una tarea programada regular para ejecutar GreetingGhoul muestra la persistencia y el enfoque a largo plazo de los ciberdelincuentes detrás del cargador DoubleFinger. Al automatizar la ejecución del “stealer” en intervalos regulares, los atacantes pueden recopilar información constantemente y maximizar el éxito de sus operaciones maliciosas.
Ante esta amenaza, es crucial que los usuarios mantengan actualizadas sus soluciones de seguridad y adopten medidas de protección adicionales, como el uso de autenticación de dos factores y el monitoreo regular de sus cuentas en línea. Además, se recomienda encarecidamente estar atentos a los comportamientos sospechosos en sus sistemas y tomar medidas inmediatas si se sospecha de una infección.
La quinta etapa del cargador DoubleFinger se centra en la creación de una tarea programada para ejecutar el “stealer” GreetingGhoul, que roba información confidencial.
La descarga y ejecución de otro archivo PNG cifrado demuestra la sofisticación utilizada para ocultar su verdadera naturaleza y evadir las defensas de seguridad.
La protección contra este tipo de amenazas requiere una combinación de medidas de seguridad actualizadas, conciencia de los riesgos y una postura proactiva de ciberseguridad.
GreetingGhoul y Remcos
GreetingGhoul es un stealer diseñado para robar credenciales relacionadas con criptomonedas. Consta de dos componentes principales, que funcionan juntos:
- Un componente que utiliza MS WebView2 para crear superposiciones en interfaces de monederos de criptomonedas;
- Otro componente que detecta las aplicaciones de monederos de criptomonedas y roba la información confidencial, como frases de recuperación.
Ejemplos de ventanas falsas
Con las billeteras de hardware, un usuario nunca debe poner su frase (seed) de recuperación en la computadora. Un proveedor de billeteras de hardware nunca pedirá eso.
Aparte de GreetingGhoul, también encontramos varias muestras de DoubleFinger que descargaban Remcos, una conocida RAT comercial muy utilizada por los ciberdelincuentes. La hemos visto en ataques selectivos contra empresas y organizaciones.
Víctimas y atribución
El análisis de los fragmentos de texto en ruso encontrados en el malware y la identificación de víctimas en Europa, Estados Unidos y América Latina son indicadores relevantes, pero no son suficientes para atribuir de manera concluyente la campaña del malware DoubleFinger a los países mencionados.
Es importante tener en cuenta que los ciberdelincuentes a menudo utilizan técnicas de ocultamiento y falsificación para dificultar la atribución de sus actividades. Pueden emplear elementos de lenguaje, como fragmentos en ruso, con el objetivo de despistar a los investigadores y desviar la atención de su verdadera ubicación o identidad.
La geolocalización de las víctimas también puede ser engañosa, ya que los atacantes suelen apuntar a una amplia variedad de países para maximizar su alcance y potencialmente evadir sospechas. Por lo tanto, la presencia de víctimas en Europa, Estados Unidos y América Latina no necesariamente indica la ubicación geográfica de los perpetradores.
La atribución precisa de las campañas de ciberdelincuencia puede ser un desafío complejo y requiere una investigación exhaustiva, que incluye el análisis forense de los artefactos técnicos, la recolección de inteligencia y la colaboración entre expertos en seguridad. Es necesario contar con evidencia sólida y corroborada antes de hacer afirmaciones definitivas sobre la identidad o la ubicación de los responsables.
En conclusión, aunque los fragmentos en ruso y las víctimas identificadas en diferentes regiones proporcionan indicios para la investigación, no son suficientes para llegar a una atribución definitiva. La atribución precisa de las campañas de malware requiere un análisis exhaustivo y riguroso de múltiples factores para evitar conclusiones precipitadas o erróneas.
Conclusión
El análisis de los programas maliciosos DoubleFinger loader y GreetingGhoul revela un alto nivel de sofisticación y habilidad en el desarrollo de software delictivo, similar al de las amenazas persistentes avanzadas (APT). El cargador multietapa estilo shellcode con capacidades de esteganografía, el uso de interfaces COM de Windows para la ejecución sigilosa y la implementación de Process Doppelgänging para la inyección en procesos remotos apuntan a que es un crimeware bien elaborado y complejo. El uso de Microsoft WebView2 runtime para crear interfaces falsificadas de monederos de criptomonedas destaca aún más las avanzadas técnicas empleadas por este malware.
Los informes de inteligencia pueden ser de gran ayuda para protegerse contra estas amenazas. Si quiere estar al día con las últimas TTP utilizadas por los delincuentes o tiene preguntas sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.
IoC
DoubleFinger
a500d9518bfe0b0d1c7f77343cac68d8
dbd0cf87c085150eb0e4a40539390a9a
56acd988653c0e7c4a5f1302e6c3b1c0
16203abd150a709c0629a366393994ea
d9130cb36f23edf90848ffd73bd4e0e0
GreetingGhoul
642f192372a4bd4fb3bfa5bae4f8644c
a9a5f529bf530d0425e6f04cbe508f1e