По словам экспертов «Лаборатории Касперского», новый многоэтапный загрузчик DoubleFinger скрытно устанавливает угонщик GreetingGhoul на устройства жертв.
DoubleFinger распространяет программу GreetingGhoul и троян удаленного доступа Remco (RAT). Анализ кода GreetingGhoul сообщает, что это похититель учетных данных, состоящий из двух основных компонентов, которые, по словам экспертов по вирусам, работают вместе. Первый компонент использует среду MS WebView2 для создания интерфейса поддельного криптовалютного кошелька, а второй компонент обнаруживает криптовалютное приложение на устройстве жертвы и крадет важную конфиденциальную информацию.
Специалисты лаборатории отмечают высокий риск заражения пользовательских устройств, поскольку стиль многошагового шеллкода со стеганографическими функциями использует COM-интерфейс Windows для скрытого выполнения, а также реализации Process Doppelgänging для внедрения во внешние процессы. Программа демонстрирует высокий уровень навыков разработки, отмечает Касперский.
В конце мая аналитическая компания Scam Sniffer предупредила криптосообщество о том, что поставщик вредоносного ПО Inferno Drainer предположительно может быть связан с тысячами краж криптовалютных активов на миллионы долларов.