DoubleFinger развертывает программу GreetingGhoul и троян удаленного доступа Remcos (RAT). Анализ кода GreetingGhoul показал: это программа-стилер, предназначенная для кражи учетных данных, состоящая из двух основных компонентов, которые, рассказывают специалисты по вирусам, работают вместе. Первый компонент использует среду MS WebView2 для создания поддельного интерфейса криптовалютного кошелька, а второй обнаруживает на устройстве жертвы криптовалютное приложение и крадет критически важную конфиденциальную информацию.
Эксперты лаборатории отмечают высокую опасность заражения пользовательских устройств, поскольку многоэтапный загрузчик в стиле шелл-кода со стеганографическими возможностями использует COM-интерфейсы Windows для скрытого выполнения, а также реализации Process Doppelgänging для внедрения в удаленные процессы. Программа демонстрирует высокий уровень мастерства разработки, говорят представители Касперского.
В конце мая аналитическая компания Scam Sniffer уведомила криптосообщество, что поставщик вредоносного программного обеспечения Inferno Drainer предположительно может быть связан с тысячами краж криптоактивов на миллионы долларов.