Недавно был обнаружен новый многоступенчатый загрузчик DoubleFinger, который доставляет стилер GreetingGhoul на компьютеры пользователей.
Атака начиналась по уже понятной схеме — с открытия вредоносного вложения PIF в электронном письме.
После чего наступал первый этап, который представляет собой модифицированный файл espexe.exe (приложение Microsoft Windows Economical Service Provider), который отвечал за зловредный код для загрузки PNG-файлов.
Изображение использовалось для сокрытия зашифрованной полезной нагрузки, в результате которой на зараженном хосте выполнялся GreetingGhoul.
Его особенностью является использование Microsoft Edge WebView2 для создания поддельных интерфейсов для легитимных криптовалютных кошельков, куда вводили свои данные ничего не подозревающие пользователи.
Кроме того загрузчик доставлял на устройство коммерческих троян, который выполнял скрытые действия и загрузки на на компьютеры жертв.
Крипту купили, а как её сохранить — увы.
ТК ВзломаНет
