Բիզնես

USD BUY - 380.50+0.00 USD SELL - 383.50+0.00
EUR BUY - 440.00-1.00 EUR SELL - 447.00+0.00
OIL:  BRENT - 67.53+0.43 WTI - 63.63+0.57
COMEX:  GOLD - 3445.00+0.41 SILVER - 38.83+0.65
COMEX:  PLATINUM - 1348.50-0.26
LME:  ALUMINIUM - 2638.00+0.51 COPPER - 9837.00+0.41
LME:  NICKEL - 15285.00+1.23 TIN - 34198.00+1.15
LME:  LEAD - 1988.00-0.35 ZINC - 2813.50-0.16
FOREX:  USD/JPY - 147.19-0.47 EUR/GBP - 1.164+0.17
FOREX:  EUR/USD - 1.164+0.17 GBP/USD - 1.3504+0.37
STOCKS RUS:  RTSI - 1140.17+0.99
STOCKS US: DOW JONES - 45565.23+0.32 NASDAQ - 21590.14+0.21
STOCKS US: S&P 500 - 6481.40+0.24
STOCKS JAPAN:  NIKKEI - 42520.27+0.30 TOPIX - 3069.74-0.07
STOCKS CHINA:  HANG SENG - 25201.76-1.27 SSEC - 3800.35-1.76
STOCKS EUR:  FTSE100 - 9255.50-0.11 CAC40 - 7743.93+0.44
STOCKS EUR:  DAX - 24046.21-0.44
27/08/2025  CBA:  USD - 382.25-0.26 GBP - 513.06-2.45
27/08/2025  CBA:  EURO - 442.61-2.82
27/08/2025  CBA:  GOLD - 41380+375 SILVER - 472.17+4.79
Կասպերսկի. DoubleFinger բարդ վնասաբեր ծրագիրը գրոհում է կրիպտոարժույթի դրամապանակները
27/06/2023 11:39
Կիսվել

Կասպերսկի. DoubleFinger բարդ վնասաբեր ծրագիրը գրոհում է կրիպտոարժույթի դրամապանակները

«Կասպերսկի» ընկերության փորձագետները նոր սպառնալիք են հայտնաբերել, որն օգտագործում է DoubleFinger բեռնիչը GreetingGhoul կրիպտոսթիլերը տեղադրելու համար: Նրանց տվյալներով՝ նշված սպառնալիքն Advanced Persistant Threat (APT) կատեգորիայի բարդ գրոհներ է հիշեցնում։ DoubleFinger-ով վարակումը սկսվում է էլեկտրոնային նամակից, որին կցված է վնասաբեր PIF-ֆայլ: Այն բանից հետո, երբ օգտատերը բացում է այդ ֆայլը, տեղի է ունենում իրադարձությունների 5 փուլերից բաղկացած շղթա։

Առաջինում DoubleFinger բեռնիչը գործարկում է shell-կոդ, որը պատկերների փոխանակման Imgur.com ծառայությունից ներբեռնում է PNG ձևաչափով ֆայլ: Իրականում սա ոչ մի նկար էլ չէ. ֆայլը ծածկագրված տեսքով պարունակում է DoubleFinger-ի գրոհի հաջորդ փուլերում օգտագործվող մի քանի բաղադրիչներ, այդ թվում՝ գրոհի երկրորդ փուլի բեռնիչը, java.exe լեգիտիմ ֆայլ և մեկ այլ PNG-ֆայլ, որը օգտագործվելու է ավելի ուշ՝ չորրորդ փուլում:

Երկրորդ փուլում DoubleFinger-ի «երկրորդ աստիճանի» բեռնիչը գործարկվում է՝ օգտագործելով վերը նշված օրինական java.exe ֆայլը, որից հետո այն նաև կատարում է shell-կոդը, որը ներբեռնում, վերծանում և գործարկում է DoubleFinger-ի «երրորդ աստիճանը»:

Երրորդ փուլում DoubleFinger-ը կատարում է համակարգչում տեղադրված պաշտպանական լուծումը շրջանցելու մի շարք գործողություններ։ Այնուհետև բեռնիչը վերծանում և գործարկում է «չորրորդ աստիճանը», որը պարունակվում է առաջին փուլի նկարագրության մեջ նշված PNG-ֆայլում։ Այդ PNG-ֆայլը, բացի վնասակար կոդից, պարունակում է նաև երկու մատի պատկեր, որից էլ տվյալ վնասաբեր ծրագիրն ստացել է իր անվանումը։

Չորրորդ փուլում DoubleFinger-ը գործարկում է «հինգերորդ աստիճանը», օգտագործելով Process Doppelgänging կոչվող տեխնիկան, փոխարինում է լեգիտիմ գործընթացը փոփոխվածով, որը և պարունակում է «օգտակար բեռնվածք» հինգերորդ փուլի համար, որում, վերը նկարագրված բոլոր մեքենայություններից հետո, DoubleFinger-ն անում է այն, ինչի համար, ըստ էության, ամեն ինչ սկսվել է. ներբեռնում և վերծանում է հերթական PNG- ֆայլը, որը պարունակում է վերջնական «օգտակար բեռնվածքը»: Դա GreetingGhoul կրիպտոսթիլերն է, որը տեղադրվում է համակարգում, իսկ առաջադրանքների պլանավորիչում ստեղծվում է ժամանակացույց, ըստ որի GreetingGhoul-ը պետք է գործարկվի ամեն օր որոշակի ժամին։ DoubleFinger բեռնիչի աշխատանքի ավարտից հետո խաղի մեջ է մտնում անմիջականորեն GreetingGhoul կրիպտոսթիլերը։ Այս վնասաբեր ծրագիրը պարունակում է երկու փոխլրացնող բաղադրիչ. մեկը համակարգում հայտնաբերում է կրիպտոարժույթների հավելվածները և գողանում հանցագործներին հետաքրքրող տվյալները՝ գաղտնի բանալիներն ու սիդ-արտահայտությունները, ինչպես նաև այն բաղադրիչը, որը ծածկում է կրիպտոարժույթների հավելվածների ինտերֆեյսը և ձեռք գցում օգտատիրոջ կողմից մուտքագրվող տեղեկատվությունը: Այս գործողությունների արդյունքում DoubleFinger-ի հետևում կանգնած հանցագործները վերահսկողություն են ստանում զոհի կրիպտոդրամապանակների վրա և կարողանում միջոցներ հանել դրանցից:

«Կասպերսկի» ընկերության փորձագետները հայտնաբերել են DoubleFinger-ի մի քանի մոդիֆիկացիաներ, որոնցից մի քանիսը վարակված համակարգում տեղադրում են կիբեռհանցավոր միջավայրում բավականին տարածված Remcos հեռավար հասանելիության տրոյական ծրագիրը: Նպատակները, որոնց համար այն կարող է օգտագործվել, նշված են հենց իր անվանման մեջ՝ REMote COntrol & Surveillance, այսինքն ՝ հեռակառավարում և լրտեսում: Այլ կերպ ասած, Remcos-ի միջոցով կիբեռհանցագործները կարող են հետևել օգտատիրոջ բոլոր գործողություններին և լիովին վերահսկել վարակված համակարգը:

27/08/2025
դրամ
Դոլար (USD)
382.25
-0.26
Եվրո (EUR)
442.61
-2.82
Ռուբլի (RUR)
4.7549
-0.0033
Լարի (GEL)
141.81
-0.07
41380
+375
Արծաթ
472.17
+4.79