DoubleFinger

DoubleFingerはマルウェアの名前です。
DoubleFingerは多段階ローダーの形式を持つマルウェアで多くの国で観測されています。
どういったものでしょうか。

• 始まりはメール
  最初はメールの添付ファイルとして被害者の環境に届けられます。
  添付されているファイルの種類はPIFファイルです。

   

• PIFファイルを開く
  PIFはProgram Information Fileで、プログラムを実行するために必要な各種設定を記述することのできるファイル形式です。
  そのなかには起動するプログラムのPATHなどが記載され、PIFが実行されるとそこに記述されたプログラムが起動されるように動作します。
  使い勝手としてはちょうどLNKファイルと似たようなものです。
  単にそのPIFファイルをダブルクリックすれば、EXEファイルをダブルクリックした場合と同じようなことになります。
  被害者はメールに添付されていたPIFファイルをダブルクリックします。

   

• DoubleFingerの第一段階
  シェルコードを実行し、とある画像共有プラットフォームからPNGファイルをダウンロードします。
  このPNGファイルは拡張子はPNGとなっていますが、中身は攻撃ツールの詰め合わせです。

   

• DoubleFingerの第二段階
  第一段階で入手したツールの中にjava.exeがあり、これが実行されます。
  このjava.exeそのものは正規のファイルですが、読み込んで実行される内容がローダーの動作を行います。

   

• DoubleFingerの第三段階
  この段階になるとマルウェアは被害環境に設置されたセキュリティ対策ソフトをバイパスさせる機構を動作させます。
  そして第一段階で入手したPNGを復号化して取り出した中身を実行します。

   

• DoubleFingerの第四段階
  Process Doppelgängingを使い、次の段階を起動します。
  Process Doppelgängingは2017年12月にBlack Hat Europe 2017で発表された技法で、Process
  Hollowingに似たコードインジェクションツールです。
  Process Hollowingはメモリ上に悪意あるコードが存在する状態になりますので、これを監視することで悪意あるコードの存在を検出することができます。
  しかしProcess Doppelgängingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアに命令を出す形式をとります。
  しかも命令を出した後すぐにそのNTFSトランザクションは破棄されますので、攻撃行為の痕跡を探すことが非常に困難であるという手法です。

   

• DoubleFingerの第五段階
  最終的なペイロードが復号化されて設置されます。
  ここで設置されるのはGreetingGhoulクリプトスティーラーです。
  設置されたGreetingGhoulクリプトスティーラーはタスクスケジューラーで毎日特定の時間に実行される状態になります。

DoubleFingerの一連の感染動作はよく練られたものになっています。
感染動作が開始されてしまうと簡単にGreetingGhoulクリプトスティーラーが設置された状態に仕立てられてしまいます。

わたしたちが利用者の立場でできる対策は何でしょうか。
出所の確かでないPIFファイルをむやみにダブルクリックしない、これです。

出所の確かでないEXEファイル、出所の確かでないLNKファイル、出所の確かでないexcelファイル、出所の確かでないwordファイル、で、今度は出所の確かでないPIFファイルですか。
ファイルの種類に関係なく、出所の確かでないものにはご注意を、ということですね。

参考記事（外部リンク）：二重のトラブル：暗号資産を盗むDoubleFinger
blog.kaspersky.co.jp/doublefinger-crypto-stealer/33997/