إنجما ستيلر
ابتكر ممثلو التهديد الروس حملة تستهدف الأوروبيين الشرقيين العاملين في صناعة العملات المشفرة. باستخدام عروض عمل مزيفة ، يهدفون إلى إصابة ضحاياهم ببرمجيات خبيثة غير معروفة سابقًا تم تعقبها باسم Enigma Stealer. تعتمد العملية المهددة على مجموعة معقدة من أدوات التحميل المبهمة للغاية والتي تستغل ثغرة أمنية في برنامج تشغيل Intel قديم. تُستخدم هذه التقنية لتقليل تكامل الرمز المميز لبرنامج Microsoft Defender وبالتالي تجاوز إجراءات الأمان الخاصة به.
تُستخدم كل هذه الأساليب للوصول إلى البيانات السرية وتعريض أجهزة الضحايا للخطر. تم الكشف عن تفاصيل حول Enigma Stealer والبنية التحتية لحملة الهجوم في تقرير صادر عن باحثين أمنيين. وفقًا للنتائج التي توصلوا إليها ، فإن Enigma هو نسخة معدلة من البرمجيات الخبيثة مفتوحة المصدر Stealerium .
سلسلة العدوى المعقدة من Enigma Stealer
يستخدم ممثلو التهديد وراء Enigma Stealer بريدًا إلكترونيًا سيئ التفكير لمهاجمة ضحاياهم. تتضمن رسائل البريد الإلكتروني التي تتظاهر بتقديم فرص عمل أرشيف RAR مرفقًا يحتوي على ملف .TXT مع أسئلة مقابلة مكتوبة باللغة السيريلية ، بالإضافة إلى ملف قابل للتنفيذ يسمى "ظروف المقابلة. word.exe". إذا تم حث الضحية على تشغيل الملف القابل للتنفيذ ، فسيتم تنفيذ سلسلة متعددة المراحل من الحمولات ، والتي تقوم في النهاية بتنزيل البرنامج الضار الذي يجمع معلومات Enigma من Telegram.
حمولة المرحلة الأولى عبارة عن أداة تنزيل C ++ تستخدم تقنيات مختلفة لتجنب الاكتشاف أثناء تنزيل وتشغيل حمولة المرحلة الثانية ، "UpdateTask.dll". تستغل هذه المرحلة الثانية من الاستغلال تقنية "إحضار برنامج التشغيل الضعيف الخاص بك" (BYOVD) لاستغلال الثغرة الأمنية CVE-2015-2291 Intel ، والتي تسمح بتنفيذ الأوامر بامتيازات Kernel. ثم يتم استخدام هذا من قبل الجهات الفاعلة في التهديد لتعطيل Microsoft Defender قبل أن تقوم البرامج الضارة بتنزيل الحمولة الثالثة.
قدرات التهديد Enigma Stealer
الحمولة الثالثة التي تنشرها الجهات المهددة هي Enigma Stealer. إنه مصمم لاستهداف معلومات النظام والرموز وكلمات المرور المخزنة في متصفحات الويب ، مثل Google Chrome و Microsoft Edge و Opera والمزيد. علاوة على ذلك ، قد يلتقط أيضًا لقطات شاشة من النظام المخترق ، ويستخرج محتوى الحافظة وتكوينات VPN.
إن Enigma Stealer قادر أيضًا على استهداف البيانات المخزنة في Microsoft Outlook و Telegram و Signal و OpenVPN والتطبيقات الأخرى. يتم ضغط جميع المعلومات التي تم جمعها في أرشيف ZIP ("Data.zip") ، والذي يتم إرساله مرة أخرى إلى الجهات المهددة عبر Telegram. لإخفاء بياناتها الخاصة بشكل أكبر ومنع الوصول غير المصرح به أو التلاعب بها ، يتم تشفير بعض سلاسل Enigma ، مثل مسارات مستعرض الويب وعناوين URL الخاصة بخدمات واجهة برمجة تطبيقات تحديد الموقع الجغرافي ، في وضع Cipher Block Chaining (CBC) باستخدام خوارزمية معيار التشفير المتقدم (AES).
