DoubleFinger: el loader que roba criptomonedas

Te explicamos cómo el malware DoubleFinger descarga GreetingGhoul, un ladrón con la mira puesta en los monederos de criptomonedas.

Las criptomonedas están sometidas a todo tipo de estrategias criminales, desde las estafas de minería de Bitcoin corrientes hasta el robo de grandes cantidades por valor de cientos de millones de dólares.

Para los propietarios de criptomonedas, los peligros acechan literalmente a cada paso. De hecho, hace poco hablamos sobre los monederos de criptomonedas falsos, que no solo se parecen, sino que además funcionan como los auténticos, pero acaban robando todo tu dinero. Ahora, nuestros expertos han descubierto una nueva amenaza: un ataque sofisticado que usa el loader DoubleFinger, acompañado del ladrón de criptomonedas GreetingGhoul y el troyano de acceso remoto Remcos. Pero lo primero es lo primero…

Cómo instala DoubleFinger el ladrón de criptomonedas GreetingGhoul

Nuestros expertos percibieron el alto nivel técnico del ataque y su naturaleza de múltiples etapas, que lo asemeja a un ataque de amenaza persistente avanzada (APT). La infección comienza con un correo electrónico con un archivo PIF malicioso que, una vez abierto por el usuario, desencadena una serie de eventos:

Etapa 1. DoubleFinger ejecuta una shellcode que descarga un archivo en formato PNG desde la plataforma de intercambio de imágenes Imgur.com. Pero en realidad no es una imagen: el archivo contiene varios componentes de DoubleFinger en forma cifrada que se utilizan en las etapas posteriores del ataque. Estos incluyen un loader listo para usar en la segunda etapa del ataque, un archivo java.exe legítimo y otro archivo PNG que se implementará más tarde, en la cuarta etapa.

Etapa 2. El loader de la segunda etapa de DoubleFinger se ejecuta con el archivo java.exe legítimo mencionado anteriormente, después de lo cual ejecuta otra shellcode que descarga, descifra e inicia la tercera etapa de DoubleFinger.

Etapa 3. En esta etapa, DoubleFinger realiza una serie de acciones para eludir el software de seguridad instalado en el ordenador. A continuación, el loader descifra y lanza la cuarta etapa, que se encuentra en el archivo PNG mencionado en la primera. Por cierto, este archivo contiene no solo el código malicioso, sino también la imagen que concede su nombre al malware:

El archivo PNG usado por DoubleFinger con el código malicioso de la cuarta etapa

Los dos dedos que dan nombre a DoubleFinger

Etapa 4. En este paso, DoubleFinger inicia la quinta etapa utilizando una técnica llamada Process Doppelgänging, mediante la cual reemplaza el proceso legítimo con uno modificado que contiene la carga útil de la quinta etapa.

Etapa 5. Después de todas las manipulaciones anteriores, DoubleFinger se dedica a hacer aquello para lo que realmente se ha diseñado: cargar y descifrar otro archivo PNG, pero este con la carga útil final. Se trata del ladrón de criptomonedas GreetingGhoul, que se instala en el sistema y está programado en el Planificador de tareas para ejecutarse diariamente en un momento determinado.

Cómo roba GreetingGhoul los monederos de criptomonedas

Una vez que el loader DoubleFinger ha hecho su trabajo, GreetingGhoul entra directamente en juego. Este malware contiene dos componentes complementarios:

  1. uno que detecta aplicaciones de monederos de criptomonedas en el sistema y roba datos de interés para los atacantes (claves privadas y frases semilla);
  2. uno que se superpone a la interfaz de las aplicaciones de criptomonedas e intercepta los datos que introduce el usuario.
GreetingGhoul anula la interfaz de las aplicaciones de criptomonedas

Ejemplo de GreetingGhoul superpuesto a la interfaz de las aplicaciones de monederos de criptomonedas

Como resultado, los ciberdelincuentes que están detrás de DoubleFinger pueden tomar el control de los monederos de criptomonedas de las víctimas y retirar todos sus fondos.

Nuestros expertos han encontrado varias modificaciones de DoubleFinger. Algunas, las más peligrosas, instalan en el sistema el troyano de acceso remoto Remcos ya habitual (entre los ciberdelincuentes), cuyo propio nombre indica su propósito REMote COntrol & Surveillance, control y vigilancia remota en inglés. Es decir, Remcos permite a los ciberdelincuentes observar todas las acciones de los usuarios y tomar el control total del sistema infectado.

Cómo proteger tus monederos de criptomonedas

Las criptomonedas siguen siendo un imán para los ciberdelincuentes, por lo que los inversores de criptomonedas deben tener muy en cuenta la seguridad. Por cierto, hablando de ello, te recomendamos leer nuestra publicación: Cómo proteger tus criptoactivos en 4 pasos. De momento, te dejamos con un resumen de los aspectos principales:

  • Anticípate a la estafa. El mundo de las criptomonedas está repleto de estafadores de todo tipo, por lo que debes analizar constantemente el horizonte en busca de trampas y comprobar y volver a comprobar todo minuciosamente.
  • No te lo juegues todo a una única carta. Usa los monederos calientes para las transacciones corrientes y los fríos para las inversiones a largo plazo.
  • Descubre cómo pueden atacar los ciberdelincuentes a los monederos fríos.
  • Compra únicamente de fuentes oficiales: compra tus monederos físicos exclusivamente de fuentes oficiales y de confianza, como el sitio web del fabricante o sus distribuidores autorizados; de esta forma evitarás comprar un monedero de criptomonedas falso.
  • Comprueba si hay signos de manipulación: antes de usar un nuevo monedero físico, inspecciona si hay signos de manipulación, como arañazos, restos de pegamento o componentes que no coinciden.
  • Verifica el firmware: comprueba siempre que el firmware del monedero físico sea legítimo y esté actualizado. Esto se puede hacer consultando el sitio web del fabricante para conocer la última versión.
  • No utilices nunca la frase semilla de recuperación de tu monedero físico en un ordenador. Un proveedor de este tipo de monederos nunca te pediría eso.
  • Protege tus contraseñas, claves y frases semilla. Utiliza contraseñas fuertes y únicas, guárdalas de forma segura y, por supuesto, no entregues nunca tus claves privadas o frases semilla a nadie bajo ninguna circunstancia.
  • Protégete a ti mismo. Asegúrate de instalar una protección de confianza en todos los dispositivos que utilices para gestionar tus monederos de criptomonedas.
Consejos