Desarrollo de las amenazas informáticas en el segundo trimestre de 2023

• Desarrollo de las amenazas informáticas en el segundo trimestre de 2023
• Desarrollo de las amenazas informáticas en el segundo trimestre de 2023. Estadísticas de computadoras personales
• Desarrollo de las amenazas informáticas en el segundo trimestre de 2023. Estadísticas de amenazas móviles

Ataques selectivos

Gopuram backdoor se despliega mediante un ataque a la cadena de suministro de 3CX

A principios de este año, se utilizó una versión troyanizada de 3CXDesktopApp, un popular programa de VoIP, en un ataque a una cadena de suministro de alta gama. Los atacantes incrustaron un código malicioso en la librería de procesamiento multimedia libffmpeg para descargar una carga útil desde sus servidores.

Al revisar los datos telemetría de la campaña, encontramos en uno de los equipos una DLL llamada guard64.dll, que estaba cargada en el proceso 3CXDesktopApp.exe infectado. Una DLL con este mismo nombre se utilizó en despliegues recientes de un backdoor que bautizamos como Gopuram, cuya pista habíamos estado siguiendo desde 2020. Mientras investigábamos una infección que afectó a una empresa de criptomonedas en el sudeste asiático, descubrimos que Gopuram coexistía en los equipos atacados con AppleJeus, un backdoor atribuido a Lazarus.

Habíamos observado pocas víctimas afectadas mediante Gopuram, pero el número de infecciones aumentó en marzo de 2023, con un pico que estaba en directa relación con el ataque a la cadena de suministro de 3CX. La amenaza iba dirigida a empresas de criptomonedas. El backdoor implementa comandos que permiten a los atacantes interactuar con el sistema de archivos y crear procesos en el equipo de la víctima. Además, notamos que Gopuram ejecutaba módulos en la memoria operativa.

El hecho de que el backdoor Gopuram se haya desplegado en menos de 10 equipos infectados indica que los atacantes actuaron con precisión quirúrgica. Hemos observado que tienen un interés específico en las empresas de criptomonedas. También supimos que el actor de amenazas responsable de Gopuram infecta las máquinas atacadas con el backdoor modular completo. Creemos que Gopuram es el principal implante y la carga útil final de la cadena de ataque.

El descubrimiento de las nuevas infecciones de Gopuram nos permitió atribuir la campaña 3CX al actor de la amenaza Lazarus con una grado medio o alto de confianza.

Seguimiento de la campaña Lazarus DeathNote

Lazarus es un actor de amenazas notorio y de alta cualificación. En los últimos años hemos seguido la pista de DeathNote, uno de los clusters activos de Lazarus, y observado un cambio en los objetivos del actor de la amenaza, así como el desarrollo y perfeccionamiento de sus TTP (Tácticas, Técnicas y Procedimientos).

Desde 2018, Lazarus ha venido lanzando ataques persistentes contra empresas relacionadas con criptomonedas utilizando documentos de Word maliciosos y temas relacionados con el negocio de las criptomonedas para atraer a víctimas potenciales. Si la víctima abría el documento y activaba las macros, un script malicioso extraía el descargador incrustado y lo cargaba con parámetros específicos. Lazarus utilizaba dos tipos diferentes de carga útil en la segunda etapa de estos ataques. La primera era una aplicación troyanizada que se hacía pasar por el visor UltraVNC y la segunda, un backdoor multietapa típico.

Nuestras investigaciones identificaron a personas o empresas afectadas en Chipre, Estados Unidos, Taiwán y Hong Kong.

En abril de 2020, descubrimos un cambio significativo en el objetivo y en el vector de infección. El cluster DeathNote se usó contra los sectores automovilístico y académico de Europa del Este, ambos relacionados con la industria de defensa. En este punto, el actor de la amenaza cambió todos los documentos señuelo por descripciones de puestos de trabajo relacionados con contratistas de defensa y servicios diplomáticos.

Lazarus también perfeccionó su cadena de infección, recurriendo a la técnica de inyección remota de plantillas en sus documentos, y también usó un software visor PDF troyanizado de código abierto. Ambos métodos de infección instalaban el mismo malware (el descargador DeathNote), que cargaba la información del objetivo y descargaba la carga útil de la siguiente fase a discreción del servidor C2 (de mando y control). Por último, en la memoria se ejecutaba una variante de COPPERHEDGE.

En mayo de 2021, el clúster DeathNote se utilizó para comprometer a una empresa europea de TI que ofrecía soluciones para la supervisión de dispositivos de red y servidores, tal vez porque Lazarus tenía interés en el popular software de esta empresa o en su cadena de suministro.

A principios de junio de 2021, el grupo Lazarus comenzó a utilizar un nuevo mecanismo de infección contra objetivos en Corea del Sur. Nos llamó la atención que la fase inicial del malware fuese ejecutada por un software de seguridad legítimo muy utilizado en el país. Se cree que el malware se propagaba a través de una vulnerabilidad en dicho software.

Como en el caso anterior, el vector de infección inicial creaba el malware descargador. Una vez conectado al servidor C2, el descargador recibía una carga útil adicional en respuesta a las órdenes del operador y la ejecutaba en la memoria. En esta etaap, el malware BLINDINGCAN se utilizaba como puerta trasera residente en memoria. Aunque el malware BLINDINGCAN cuenta con capacidades suficientes para controlar a la víctima, el autor implantaba manualmente malware adicional: se cree que el grupo pretendía crear un método auxiliar para controlar a la víctima. Por último, se ejecutaba en la víctima el malware COPPERHEDGE, utilizado anteriormente por este clúster.

Un año después, en marzo de 2022, descubrimos que el mismo programa de seguridad había sido explotado para propagar un malware descargador similar entre varias víctimas en Corea del Sur. Sin embargo, en este caso se entregaba una carga útil diferente. El operador del C2 implantó manualmente una puerta trasera dos veces, y aunque no pudimos conseguir la primera puerta trasera implantada, suponemos que es la misma de la etapa siguiente. La puerta trasera recién implantada es capaz de ejecutar una carga útil obtenida mediante una comunicación del tipo tubería (“named-pipe”). Además, el actor utilizó la técnica de carga lateral para ejecutar Mimikatz y un malware de robo para recopilar datos de pulsaciones de teclas y del portapapeles de los usuarios.

Más o menos al mismo tiempo, descubrimos pruebas de que un contratista de defensa en América Latina se había visto afectado por el mismo backdoor. El vector de infección inicial era similar al que hemos visto en otros objetivos de la industria de defensa, e implicaba el uso de un lector de PDF troyanizado con un archivo PDF manipulado. Sin embargo, en este caso en particular, el actor adoptó una técnica de carga lateral para ejecutar la carga útil final. Cuando se abre el archivo PDF malicioso con el lector de PDF troyanizado, a la víctima se le presenta el mismo malware mencionado antes, que recopila y envía la información de la víctima, recupera comandos y los ejecuta utilizando mecanismos de comunicación de tuberías. El autor de la amenaza utilizó este malware para implantar cargas útiles adicionales, incluidos archivos legítimos con fines de carga lateral.

En julio de 2022, Lazarus logró introducirse en el sistema de un contratista de defensa en África. La infección inicial era una aplicación PDF sospechosa, que había sido enviada a través del mensajero Skype. Tras ejecutar el lector de PDF, creaba un archivo legítimo (CameraSettingsUIHost.exe) y un archivo malicioso (DUI70.dll) en el mismo directorio. Este ataque se basaba en gran medida en la misma técnica de carga lateral de DLL que observamos en el caso anterior. Lazarus utilizó este malware varias veces en diversas campañas y también utilizó la misma técnica de carga lateral de DLL para implantar malware adicional capaz de operar como puerta trasera. Para desplazarse lateralmente por los sistemas, el actor utilizó una interesante técnica denominada ServiceMove.  Esta técnica utiliza el Servicio de Simulación de Percepción de Windows para cargar archivos DLL arbitrarios: mediante la creación de un DLL arbitrario en C:\Windows\System32\PerceptionSimulation\ y del inicio remoto servicio, el actor de la amenaza logró ejecutar códigos como NT AUTHORITY\SYSTEM en sistemas remotos.

Nuestro análisis del clúster DeathNote revela la rápida evolución de sus TTP a lo largo de los años. A medida que Lazarus sigue perfeccionando sus métodos, es crucial que las organizaciones se mantengan en alerta y tomen medidas proactivas para defenderse de sus actividades maliciosas. Al mantenerse informadas y aplicar fuertes medidas de seguridad, las organizaciones pueden reducir el riesgo de convertirse en víctimas de este peligroso adversario.

Tomiris llamó, quieren que le devuelvan su malware Turla

Informamos por primera vez sobre Tomiris en septiembre de 2021, a raíz de nuestra investigación sobre el secuestro del DNS de una organización gubernamental de la CEI (Comunidad de Estados Independientes). Hemos descrito vínculos entre un implante Golang de Tomiris y SUNSHUTTLE (vinculado a NOBELIUM/APT29/TheDukes), así como Kazuar (vinculado a Turla). Sin embargo, fue difícil interpretar estas conexiones. Hemos seguido rastreando a Tomiris como un actor de amenazas independiente a lo largo de tres nuevas campañas de ataques entre 2021 y 2023, y nuestra telemetría nos ha permitido conocer más sobre este grupo.

Las actividades de este actor de amenazas se centran en Afganistán y los países miembros de la CEI. Aunque hemos identificado algunos objetivos en otros lugares, todos parecen ser entidades diplomáticas extranjeras de estos países.

Tomiris utiliza una gran variedad de implantes de malware desarrollados a gran velocidad y en todos los lenguajes de programación imaginables. Las herramientas utilizadas por este actor de amenazas se dividen en tres categorías: descargadores, puertas traseras y ladrones de archivos. El actor de la amenaza no se limita a desarrollar sus propias herramientas, sino que también utiliza implantes y herramientas ofensivas de código abierto o disponibles comercialmente. Tomiris emplea una amplia variedad de vectores de ataque: spear-phishing, secuestro de DNS, explotación de vulnerabilidades (específicamente ProxyLogon), presuntas descargas drive-by y otros métodos “creativos”.

La atribución de las herramientas utilizadas en un ciberataque puede ser a veces una cuestión muy delicada. En enero, algunos colegas investigadores atribuyeron a Turla un ataque contra organizaciones en Ucrania, basado, al menos en parte, en el uso de KopiLuwak y QUIETCANARY (que nosotros llamamos TunnusSched), malware que se sabe ha sido utilizado por Turla.

Descubrimos que una muestra de TunnusSched había sido introducida a un objetivo gubernamental en la CEI en septiembre de 2022 y nuestra telemetría indicó que este malware había sido desplegado desde el malware Telemiris de Tomiris. Además, a partir de 2019, descubrimos familias de implantes adicionales vinculadas a KopiLuwak, y que TunnusSched y KopiLuwak forman parte del mismo conjunto de herramientas.

Seguimos convencidos de que, a pesar de los posibles vínculos entre ambos grupos, Turla y Tomiris son actores de amenazas distintos. No cabe duda de que Tomiris es de habla rusa, pero sus objetivos y su estrategia comercial no coinciden en absoluto con los que hemos observado en Turla. Además, el enfoque general de Tomiris respecto a la intrusión y su escaso interés por pasar desapercibido no concuerdan en absoluto con las técnicas documentadas de Turla.

Esto plantea varias posibilidades:

1. Turla está no tiene inconvenientes en usar una herramienta que perdió credibilidad en 2016 y la sigue usando en las operaciones actuales junto con nuevas herramientas.
2. Es posible que otros actores de amenazas hayan reutilizado estas herramientas y las estén usando bajo una bandera falsa.
3. Turla comparte herramientas y conocimientos, o realiza operaciones conjuntas con Tomiris.
4. Tomiris y Turla dependen de un proveedor común que les proporciona capacidades ofensivas. O puede que Tomiris empezara como una empresa privada que escribía herramientas para Turla y ahora se dedique al negocio de los mercenarios.

Nuestra opinión es que las dos primeras hipótesis son las menos probables y que existe una forma de cooperación deliberada entre Tomiris y Turla, aunque su naturaleza exacta es difícil de determinar con la información que disponemos.

CloudWizard APT: la historia de la mala magia continúa

El pasado mes de octubre identificamos una infección activa de organizaciones gubernamentales, agrícolas y de transporte ubicadas en Donetsk, Lugansk y Crimea. En marzo publicamos los resultados de nuestras investigaciones iniciales sobre los implantes PowerMagic y CommonMagic. En aquel momento, no logramos encontrar nada que relacionara las muestras que encontramos y los datos utilizados en la campaña con ningún actor de amenazas conocido. Sin embargo, nuestras continuas investigaciones revelaron más información sobre esta amenaza, incluidos los vínculos con otras campañas APT.

Mientras buscábamos implantes que tuviesen similitudes con PowerMagic y CommonMagic, identificamos un grupo de actividades maliciosas aún más sofisticadas que provenían del mismo actor de amenazas. Es curioso que los objetivos no sólo estuvieran situados en las regiones de Donetsk, Lugansk y Crimea, sino también en el centro y el oeste de Ucrania. Los blancos incluían a particulares, así como a organizaciones diplomáticas y de investigación.

La campaña recién descubierta implicaba el uso de un marco modular que denominamos CloudWizard. Entre sus funciones se incluyen la toma de capturas de pantalla, grabaciones del micrófono, registros de teclas y mucho más.

A lo largo de los años han sido muchos los actores de amenazas APT que han operado en la región del conflicto ruso-ucraniano, entre ellos Gamaredon, CloudAtlas y BlackEnergy. Así que buscamos pistas que nos permitieran atribuir CloudWizard a un actor de amenazas conocido. CloudWizard nos recordó dos campañas observadas en Ucrania y que se dieron a conocer: Operación Groundbait (descrita por primera vez por ESET en 2016) y Operación BugDrop (descubierta por CyberX en 2017). Aunque no ha habido actualizaciones sobre el malware Prikormka (parte de la Operación Groundbait) desde hace unos años, hemos descubierto múltiples similitudes entre el malware utilizado en esa campaña y CommonMagic y CloudWizard. Está claro, por tanto, que el actor de amenazas detrás de estas dos operaciones no ha cesado su actividad y ha seguido desarrollando su conjunto de herramientas de ciberespionaje e infectando objetivos de interés durante más de 15 años.

Conoce al grupo APT GoldenJackal. No esperes aullidos

GoldenJackal, un grupo APT activo desde 2019, suele tener como objetivo entidades gubernamentales y diplomáticas de Oriente Medio y el sur de Asia.

Empezamos a vigilar a este actor de amenazas a mediados de 2020 y hemos observado un nivel constante de actividad que indica que se trata de un actor capaz y sigiloso.

La característica principal de este grupo es un conjunto de herramientas específicas de malware escrito en .NET: JackalControl, JackalWorm, JackalSteal, JackalPerInfo y JackalScreenWatcher.  Estos implantes están destinados a controlar los equipos atacados, propagarse mediante unidades extraíbles, filtrar datos, robar credenciales, recopilar información sobre el sistema local y las actividades web del objetivo y realizar capturas de pantalla.

Aunque tenemos una visibilidad limitada de los vectores de infección de este actor de amenazas, durante nuestras investigaciones descubrimos el uso de instaladores falsos de Skype y documentos de Word maliciosos.

El falso instalador de Skype era un archivo ejecutable .NET llamado skype32.exe: se trataba de un dropper que contenía dos recursos, el troyano JackalControl y un instalador independiente legítimo de Skype for Business. El documento malicioso, que se hace pasar por una circular legítima distribuida para recopilar información sobre funcionarios condecorados por el gobierno de Pakistán, utiliza la técnica de inyección remota de plantillas para descargar una página HTML maliciosa, que aprovecha la vulnerabilidad Follina.

La actividad de GoldenJackal se caracteriza por el uso de sitios web WordPress comprometidos como método para alojar la lógica relacionada con el C2. Creemos que los atacantes cargan un archivo PHP malicioso que se utiliza como relé para reenviar solicitudes web a otro servidor C2 troncal. No tenemos pruebas de las vulnerabilidades utilizadas para comprometer los sitios. Sin embargo, observamos que muchos de los sitios web utilizaban versiones obsoletas de WordPress y algunos también habían sido desfigurados o infectados con shells web cargadas con anterioridad, quizá como resultado de una actividad hacktivista o ciberdelictiva de bajo perfil.

Operación Triangulation

A principios de junio, emitimos una alerta temprana sobre una campaña de larga duración que rastreamos bajo el nombre de Operation Triangulation, relacionada con una plataforma de malware para iOS desconocida hasta entonces y distribuida a través de exploits de iMessage de clic cero.

El ataque se lleva a cabo mediante un iMessage invisible con un archivo adjunto malicioso. El archivo adjunto aprovecha una serie de vulnerabilidades de iOS para ejecutarse e instalar spyware. El despliegue del programa espía pasa desapercibido y no requiere ninguna acción por parte de la víctima. A continuación, el programa espía transmite, sin ninguna señal externa, información privada a servidores remotos, incluidas grabaciones del micrófono, fotos de mensajería instantánea, geolocalización y datos sobre otras actividades del propietario del dispositivo infectado.

Detectamos esta amenaza utilizando Kaspersky Unified Monitoring and Analysis Platform(KUMA), una solución SIEM nativa para la gestión de eventos e información de seguridad. Investigaciones posteriores revelaron que varias docenas de iPhones de empleados de Kaspersky estaban infectados.

Además de ponernos en contacto con socios del sector para evaluar la prevalencia de esta amenaza, proporcionamos una metodología forense para ayudar a los lectores a determinar si su organización era objetivo del grupo desconocido que está detrás de estos ataques. Más adelante publicamos una utilidad para buscar Indicadores de Compromiso (IoC).

A continuación, publicamos el primero de una serie de informes adicionales en los que se describe la carga útil final de la cadena de infección: un implante de spyware muy sofisticado al que denominamos “TriangleDB”. Este implante, que funciona en la memoria, se comunica de tanto en tanto con la infraestructura del C2 para recibir órdenes. El implante permite a los atacantes navegar y modificar archivos del dispositivo, obtener contraseñas y credenciales almacenadas en el keychain, recuperar información de geolocalización, así como ejecutar módulos adicionales, ampliando así aún más su control sobre los dispositivos comprometidos.

Los errores de Andariel y una nueva familia de malware

Andariel, parte del grupo Lazarus, es conocido porque usó el malware DTrack y el ransomware Maui a mediados de 2022. Durante el mismo período, Andariel también explotó activamente la vulnerabilidad Log4j. La campaña introdujo varias familias de malware nuevas, como YamaBot y MagicRat, pero también versiones actualizadas de NukeSped y DTrack.

Mientras realizábamos una investigación no relacionada, nos topamos con una nueva campaña y decidimos indagar un poco más. Descubrimos una familia de malware todavía no documentada y una adición al conjunto de TTPs de Andariel.

Andariel infecta las máquinas ejecutando un exploit Log4j que, a su vez, descarga más malware del servidor C2. Lamentablemente, no pudimos detectar el primer programa malicioso que descargaron, pero vimos que la explotación ocurrió poco antes de la descarga del backdoor DTrack.

Pudimos reproducir los comandos que ejecutaban los atacantes y pronto quedó claro que los ejecutaba un operador humano y, a juzgar por el número de errores y erratas, probablemente inexperto. También pudimos identificar el conjunto de herramientas estándar que Andariel instaló y ejecutó durante la fase de ejecución del comando, y que luego utilizó para explotar aún más el objetivo. Entre ellas estaban Supremo remote desktop, 3Proxy, Powerline, Putty, Dumpert, NTDSDumpEx y ForkDump.

También descubrimos un nuevo malware, llamado EarlyRat. Lo habíamos notado por primera vez en uno de los casos mencionados de Log4j y supusimos que se descargaba a través de Log4j. Sin embargo, cuando empezamos a buscar más muestras, encontramos documentos de phishing que, en última instancia, instalaban EarlyRat.

EarlyRat, al igual que el documento de phishing, es muy simple: es capaz de ejecutar comandos, pero nada más de interés.

Otros programas maliciosos

El ransomware Nokoyawa ataca utilizando una vulnerabilidad de día cero de Windows

Nuestros componentes Behavioral Detection Engine y Exploit Prevention detectaron intentos de ejecutar exploits de elevación de privilegios en servidores Windows pertenecientes a PYMES de Oriente Medio, Norteamérica y Asia. Eran similares a los exploits en el Common Log File System (CLFS), el subsistema de registro de Windows, que ya habíamos analizado en una ocasión anterior. Sin embargo, cuando volvimos a comprobarlo, uno de ellos resultó ser un exploit de día cero compatible con diferentes versiones y compilaciones de Windows, incluido Windows 11. Compartimos nuestros hallazgos con Microsoft, que bautizó la vulnerabilidad como CVE-2023-28252. La vulnerabilidad fue parchada el 4 de abril.

La mayoría de los zero-days que hemos descubierto en el pasado fueron utilizados por actores de amenazas APT, pero este fue utilizado por Nokoyawa, un sofisticado grupo de ciberdelincuentes, para llevar a cabo ataques de ransomware.

Pico de infecciones del troyano bancario QBot

A principios de abril, detectamos un aumento notable de los ataques con el malware QBot (también conocido como QakBot, QuackBot y Pinkslipbot). El malware se distribuía a través de documentos maliciosos adjuntos a correspondencia comercial. Los hackers obtuvieron acceso a correspondencia comercial real (QBot, entre otras cosas, roba los correos electrónicos almacenados localmente en los ordenadores de los objetivos anteriores) y se unen al diálogo, enviando mensajes como si estuvieran manteniendo una conversación antigua. Los mensajes intentan convencer a los destinatarios de que abran un archivo PDF adjunto, haciéndolo pasar por una lista de gastos u otro asunto comercial. Pero en realidad, el PDF contiene una notificación falsa de Microsoft Office 365 o Microsoft Azure. Los atacantes las usan para intentar que el objetivo haga clic en el botón “Abrir”, que entonces descarga un archivo protegido por contraseña protegida (con la contraseña en el texto de la notificación). Si el destinatario descomprime el archivo y ejecuta el archivo .WSF (Windows Script File) que contiene, descarga el malware QBot desde un servidor remoto.

Minas: hacia la complejidad

En junio de 2022, encontramos un shellcode sospechoso ejecutándose en la memoria de un proceso del sistema. A partir de nuestra reconstrucción de la cadena de infección, determinamos que se originó mediante la ejecución de un script PowerShell codificado como una tarea, que creemos (sin estar muy seguros) que fue creado a través de un GPO (Group Policy Object), algo que es muy preocupante, ya que indica que los atacantes habrían comprometido la red de destino.

El malware, al que llamamos Minas, es un criptominero. Sus objetivos son ocultar su presencia en los sistemas infectados mediante el cifrado, la generación aleatoria de nombres y el uso de técnicas de secuestro e inyección. También tiene la capacidad de permanecer en el sistema infectado utilizando técnicas de persistencia.

Creemos que es muy probable que en el futuro aparezca una nueva variante que intente evadir la detección antivirus, por lo que es esencial utilizar una solución de seguridad que no se base en la detección de firmas, sino que también utilice métodos de detección de comportamiento.

Satacom ofrece una extensión de navegador que roba criptomonedas

En junio, informamos de una reciente campaña de distribución de malware relacionada con el descargador Satacom. El objetivo principal del malware es robar bitcoins de la cuenta de la víctima mediante inyecciones web en sitios web de criptomonedas. El malware intenta hacerlo instalando una extensión para navegadores web basados en Chromium, que posteriormente se comunica con su servidor C2, cuya dirección está almacenada en los datos de la transacción de bitcoins.

La extensión maliciosa tiene varios scripts JS para realizar manipulaciones en el navegador mientras el usuario navega por los sitios web objetivo, incluyendo la enumeración y manipulación con sitios web de criptomonedas. También tiene la capacidad de manipular la apariencia de algunos servicios de correo electrónico, como Gmail, Hotmail y Yahoo, con el fin de ocultar su actividad.

Mientras analizábamos una cadena de infección específica de Windows, el malware funcionaba como una extensión del navegador, por lo que podría instalarse en navegadores basados en Chromium en varias plataformas, lo que permitiría a los atacantes atacar Linux y macOS, si así lo decidieran.

DoubleFinger se utilizó para robar criptomonedas

En junio, informamos del uso de un sofisticado ataque que utilizaba el cargador DoubleFinger para instalar un troyano de robo de criptomonedas y acceso remoto. La naturaleza técnica del ataque y su mecanismo de infección en varias fases recuerdan a los ataques de los actores de amenazas APT.

El proceso comienza con un correo electrónico que contiene un archivo PIF malicioso. Si la víctima abre el archivo adjunto, comienza la primera fase del ataque. DoubleFinger ejecuta un shellcode que descarga un archivo en formato PNG desde la plataforma de intercambio de imágenes ‘Imgur.com’. En realidad, este archivo contiene varios componentes de DoubleFinger cifrados, que se utilizan en las fases posteriores del ataque. Estos incluyen un cargador que se usa en la segunda etapa del ataque (un archivo java.exe legítimo), acciones para intentar eludir el software de seguridad instalado en el equipo, y el contenido descifrado de otro archivo PNG que se despliega en la cuarta etapa (este archivo PNG no sólo contiene el código malicioso, sino también la imagen que da nombre al malware).

A continuación, DoubleFinger lanza la quinta etapa utilizando una técnica llamada Process Doppelgänging, mediante la cual sustituye el proceso legítimo por otro modificado que contiene la carga maliciosa, el cripto-ladrón GreetingGhoul, que se instala en el sistema y se programa para ejecutarse cada día a una hora determinada.

GreetingGhoul tiene dos componentes: uno detecta las aplicaciones de criptomonedero en el sistema y roba datos de interés para los atacantes (como claves privadas y frases semilla), y otro que se superpone a la interfaz de las aplicaciones de criptomonedero e intercepta los datos que ingresa el usuario.

Esto permite a los atacantes tomar el control de las criptocarteras del objetivo y retirar fondos de ellas.

Hemos encontrado varias modificaciones de DoubleFinger, algunas de las cuales instalan el troyano de acceso remoto Remcos. Su objetivo es observar todas las acciones de la víctima y tomar el control total del sistema.