新型攻击工具DoubleFinger 助力GreetingGhoul加密货币窃取

关键要点

• 恶意攻击者正在使用新型的DoubleFinger多阶段加载器来部署GreetingGhoul加密货币窃取工具，目标主要是美国、拉丁美洲和欧洲用户。
• 攻击的初始阶段通过恶意的PIF附件在网络钓鱼邮件中执行，利用经过修改的Microsoft Windows应用程序来获取包含加密负载的恶意PNG文件。
• GreetingGhoul不仅窃取加密货币资产，还旨在获取用户在Microsoft Edge WebView2中的凭据。
• 研究表明，DoubleFinger还支持Remcos RAT的分发，显示出与高级持续性威胁（APT）操作相似的复杂性。

根据的报道，恶意攻击者利用最新的DoubleFinger多阶段加载器，推动GreetingGhoul加密货币窃取程序在美国、拉丁美洲和欧洲的用户中实施攻击。根据卡巴斯基的报告，DoubleFinger的初始阶段通过打开网络钓鱼邮件中的恶意PIF附件执行，同时使用经过修改的MicrosoftWindows Economical ServiceProvider应用程序来获取一个包含加密负载的恶意PNG文件。该负载会通过四阶段的妥协链促使GreetingGhoul的执行。

除了窃取加密货币资产外，GreetingGhoul还针对获取用户在Microsoft EdgeWebView2中的凭据。同时，DoubleFinger也被发现可以支持的分发。卡巴斯基研究员谢尔盖·洛日金提到，DoubleFinger和GreetingGhoul都展现出与高级持续性威胁（APT）操作相似的复杂性。他表示：“这款多阶段、Shellcode风格的加载器具有隐写能力，利用WindowsCOM接口进行隐秘执行，并实现了远程进程的进程双重冒充，所有这些都指向一个精心设计且复杂的犯罪软件。”

总结

随着网络安全威胁的不断演进，企业和个人用户需要增强防范意识，及时更新安全防护措施，以应对日益复杂的网络攻击。