Բիզնես

USD BUY - 390.00+0.00 USD SELL - 392.50+0.00
EUR BUY - 440.00+0.00 EUR SELL - 449.00+2.00
OIL:  BRENT - 64.82+0.09 WTI - 61.58+0.16
COMEX:  GOLD - 3247.60-0.22 SILVER - 31.83-1.15
COMEX:  PLATINUM - 952.60+0.45
LME:  ALUMINIUM - 2396.50+3.48 COPPER - 9154.50+6.29
LME:  NICKEL - 15069.00+6.99 TIN - 31219.00+4.68
LME:  LEAD - 1914.00+3.94 ZINC - 2651.50+3.66
FOREX:  USD/JPY - 142.74-0.54 EUR/GBP - 1.1394+0.30
FOREX:  EUR/USD - 1.1394+0.30 GBP/USD - 1.3131+0.39
STOCKS RUS:  RTSI - 1144.79+0.00
STOCKS US: DOW JONES - 40212.71+1.56 NASDAQ - 16724.46+2.06
STOCKS US: S&P 500 - 5363.36+1.81
STOCKS JAPAN:  NIKKEI - 33982.36+1.18 TOPIX - 2488.51+0.88
STOCKS CHINA:  HANG SENG - 21417.40+2.40 SSEC - 3262.81+0.76
STOCKS EUR:  FTSE100 - 7964.18+0.64 CAC40 - 7104.80-0.30
STOCKS EUR:  DAX - 20374.10-0.92
14/04/2025  CBA:  USD - 390.92-0.15 GBP - 515.78+4.57
14/04/2025  CBA:  EURO - 445.10+1.90
14/04/2025  CBA:  GOLD - 40602.00+1,083.00 SILVER - 393.01+4.18
Կասպերսկի. DoubleFinger բարդ վնասաբեր ծրագիրը գրոհում է կրիպտոարժույթի դրամապանակները
27/06/2023 11:39
Կիսվել

Կասպերսկի. DoubleFinger բարդ վնասաբեր ծրագիրը գրոհում է կրիպտոարժույթի դրամապանակները

«Կասպերսկի» ընկերության փորձագետները նոր սպառնալիք են հայտնաբերել, որն օգտագործում է DoubleFinger բեռնիչը GreetingGhoul կրիպտոսթիլերը տեղադրելու համար: Նրանց տվյալներով՝ նշված սպառնալիքն Advanced Persistant Threat (APT) կատեգորիայի բարդ գրոհներ է հիշեցնում։ DoubleFinger-ով վարակումը սկսվում է էլեկտրոնային նամակից, որին կցված է վնասաբեր PIF-ֆայլ: Այն բանից հետո, երբ օգտատերը բացում է այդ ֆայլը, տեղի է ունենում իրադարձությունների 5 փուլերից բաղկացած շղթա։

Առաջինում DoubleFinger բեռնիչը գործարկում է shell-կոդ, որը պատկերների փոխանակման Imgur.com ծառայությունից ներբեռնում է PNG ձևաչափով ֆայլ: Իրականում սա ոչ մի նկար էլ չէ. ֆայլը ծածկագրված տեսքով պարունակում է DoubleFinger-ի գրոհի հաջորդ փուլերում օգտագործվող մի քանի բաղադրիչներ, այդ թվում՝ գրոհի երկրորդ փուլի բեռնիչը, java.exe լեգիտիմ ֆայլ և մեկ այլ PNG-ֆայլ, որը օգտագործվելու է ավելի ուշ՝ չորրորդ փուլում:

Երկրորդ փուլում DoubleFinger-ի «երկրորդ աստիճանի» բեռնիչը գործարկվում է՝ օգտագործելով վերը նշված օրինական java.exe ֆայլը, որից հետո այն նաև կատարում է shell-կոդը, որը ներբեռնում, վերծանում և գործարկում է DoubleFinger-ի «երրորդ աստիճանը»:

Երրորդ փուլում DoubleFinger-ը կատարում է համակարգչում տեղադրված պաշտպանական լուծումը շրջանցելու մի շարք գործողություններ։ Այնուհետև բեռնիչը վերծանում և գործարկում է «չորրորդ աստիճանը», որը պարունակվում է առաջին փուլի նկարագրության մեջ նշված PNG-ֆայլում։ Այդ PNG-ֆայլը, բացի վնասակար կոդից, պարունակում է նաև երկու մատի պատկեր, որից էլ տվյալ վնասաբեր ծրագիրն ստացել է իր անվանումը։

Չորրորդ փուլում DoubleFinger-ը գործարկում է «հինգերորդ աստիճանը», օգտագործելով Process Doppelgänging կոչվող տեխնիկան, փոխարինում է լեգիտիմ գործընթացը փոփոխվածով, որը և պարունակում է «օգտակար բեռնվածք» հինգերորդ փուլի համար, որում, վերը նկարագրված բոլոր մեքենայություններից հետո, DoubleFinger-ն անում է այն, ինչի համար, ըստ էության, ամեն ինչ սկսվել է. ներբեռնում և վերծանում է հերթական PNG- ֆայլը, որը պարունակում է վերջնական «օգտակար բեռնվածքը»: Դա GreetingGhoul կրիպտոսթիլերն է, որը տեղադրվում է համակարգում, իսկ առաջադրանքների պլանավորիչում ստեղծվում է ժամանակացույց, ըստ որի GreetingGhoul-ը պետք է գործարկվի ամեն օր որոշակի ժամին։ DoubleFinger բեռնիչի աշխատանքի ավարտից հետո խաղի մեջ է մտնում անմիջականորեն GreetingGhoul կրիպտոսթիլերը։ Այս վնասաբեր ծրագիրը պարունակում է երկու փոխլրացնող բաղադրիչ. մեկը համակարգում հայտնաբերում է կրիպտոարժույթների հավելվածները և գողանում հանցագործներին հետաքրքրող տվյալները՝ գաղտնի բանալիներն ու սիդ-արտահայտությունները, ինչպես նաև այն բաղադրիչը, որը ծածկում է կրիպտոարժույթների հավելվածների ինտերֆեյսը և ձեռք գցում օգտատիրոջ կողմից մուտքագրվող տեղեկատվությունը: Այս գործողությունների արդյունքում DoubleFinger-ի հետևում կանգնած հանցագործները վերահսկողություն են ստանում զոհի կրիպտոդրամապանակների վրա և կարողանում միջոցներ հանել դրանցից:

«Կասպերսկի» ընկերության փորձագետները հայտնաբերել են DoubleFinger-ի մի քանի մոդիֆիկացիաներ, որոնցից մի քանիսը վարակված համակարգում տեղադրում են կիբեռհանցավոր միջավայրում բավականին տարածված Remcos հեռավար հասանելիության տրոյական ծրագիրը: Նպատակները, որոնց համար այն կարող է օգտագործվել, նշված են հենց իր անվանման մեջ՝ REMote COntrol & Surveillance, այսինքն ՝ հեռակառավարում և լրտեսում: Այլ կերպ ասած, Remcos-ի միջոցով կիբեռհանցագործները կարող են հետևել օգտատիրոջ բոլոր գործողություններին և լիովին վերահսկել վարակված համակարգը:

14/04/2025
դրամ
Դոլար (USD)
390.92
-0.15
Եվրո (EUR)
445.10
+1.90
Ռուբլի (RUR)
4.75
+0.09
Լարի (GEL)
141.98
-0.05
40602.00
+1,083.00
Արծաթ
393.01
+4.18