មេរោគ Multi-stage loader ដែលមានឈ្មោះថា DoubleFinger ត្រូវមើលឃើញថាកំពុងតែបញ្ជូនអ្នកលួចប្រាក់គ្រីបតូឈ្មោះ GreetingGhoul ដ៏មានជំនាញក្នុងការវាយប្រហារលើអ្នកប្រើនៅអឺរ៉ុប អាមេរិក និងអាមេរិកឡាទីន។
កាលពីថ្ងៃចន្ទ អ្នកស្រាវជ្រាវនៅ Kaspersky ថ្លែងថាមេរោគ DoubleFinger ត្រូវដាក់ពង្រាយនៅលើម៉ាសុីនគោលដៅ នៅពេលជនរងគ្រោះបើក PIF attachment អាក្រក់នៅក្នុងអុីម៉ែល នោះជាពេលដែល DoubleFinger’s loader stages ចាប់ផ្តើមដំណើរការ។ ចំណុចចាប់ផ្តើមនៃការវាយប្រហារគឺ modified versions ដែលមានឯកសារ espexe.exe របស់កម្មវិធី Microsoft Windows Economical Service Provider ត្រូវបង្កើតឡើងដើម្បីប្រតិបត្តិ shellcode សម្រាប់ទទួលយកឯកសាររូបភាព PNG ពីសេវាបង្ហោះរូបភាព (image hosting service) Imgur។ រូបភាពមានលាក់ការឆបោក ដើម្បីបិទបាំង payload ដែលអុីនគ្រីប ដែលជម្រុញដំណើរការខ្សែច្រវាក់សម្របសម្រួល៤ដំណាក់កាល និងចុងក្រោយប្រតិបត្តិការលួច GreetingGhoul នៅលើម៉ាសុីនឆ្លងមេរោគ។
ចំណុចគួរកត់សម្គាល់នៃមេរោគ GreetingGhoul គឺប្រើ Microsoft Edge WebView2 ដើម្បីបង្កើត overlay ក្លែងក្លាយនៅលើកាបូបគ្រីបតូស្របច្បាប់ សម្រាប់លួចអត្តសញ្ញាណអ្នកប្រើដែលបញ្ចូលដោយ មិនដឹងខ្លួន។ DoubleFinger ក៏ត្រូវលើកឡើងថាកំពុងតែបញ្ជូន Remcos RAT ដែលជាមេរោគពាណិជ្ជកម្មដ៏ពេញនិយមរបស់ហេគឃ័រ ដើម្បីវាយប្រហារស្ថាប័នអឺរ៉ុប និងអ៊ុយក្រែននាពេលថ្មីៗនេះ។ អ្នកស្រាវជ្រាវបន្ថែមថា ការវិភាគបង្ហាញពីជំនាញ និងទំនើបកម្មនៅក្នុងការវិវត្តវិស័យឧក្រឹដ្ឋកម្មសាយប័រ ដែលស្រដៀងគ្នានឹងការគំរាមកំហែង APTs។ ចម្រុះដំណាក់កាល (multi-staged) ដែលជា shellcode-style loader មានសមត្ថភាពលាក់ខ្លួន និងប្រើផ្ទៃ Windows COM interfaces សម្រាប់ប្រតិបត្តិការលួច និងអនុវត្តការលួចតាមរយៈការចាក់បញ្ចូលពីចម្ងាយ និងប្រតិបត្តិការវាយប្រហារដ៏ស្មុគស្មាញ៕
