крадец на енигма

Руските заплахи са създали кампания, насочена към източноевропейци, работещи в индустрията на криптовалутите. Използвайки фалшиви предложения за работа, те се стремят да заразят жертвите си с неизвестен досега зловреден софтуер, проследяван като Enigma Stealer. Застрашителната операция разчита на сложен набор от силно обфускирани зареждащи устройства, които използват уязвимост в стар драйвер на Intel. Тази техника се използва за намаляване на целостта на токена на Microsoft Defender и следователно заобикаляне на неговите мерки за сигурност.

Всички тези тактики се използват за получаване на достъп до поверителни данни и компрометиране на машините на жертвите. Подробности за Enigma Stealer и инфраструктурата на атаката бяха разкрити в доклад на изследователи по сигурността. Според техните открития, Enigma е модифицирана версия на зловреден софтуер с отворен код Stealerium .

Сложната верига за заразяване на крадеца на Enigma

Заплахите зад Enigma Stealer използват злонамерен имейл, за да атакуват своите жертви. Имейлите, които претендират, че предлагат възможности за работа, включват прикачен RAR архив, съдържащ .TXT файл с въпроси за интервю, написани на кирилица, както и изпълним файл, наречен „interview conditions.word.exe“. Ако жертвата бъде подтикната да стартира изпълнимия файл, се изпълнява многоетапна верига от полезни натоварвания, която в крайна сметка изтегля зловреден софтуер за събиране на информация Enigma от Telegram.

Полезният товар на първия етап е програма за изтегляне на C++, която използва различни техники за избягване на откриване, докато изтегля и стартира полезния товар на втория етап, „UpdateTask.dll“. Този експлойт на втория етап използва техниката „Вземете свой собствен уязвим драйвер“ (BYOVD), за да използва уязвимостта на CVE-2015-2291 Intel, която позволява командите да се изпълняват с привилегии на ядрото. След това това се използва от участниците в заплахата, за да деактивира Microsoft Defender, преди зловредният софтуер да изтегли третия полезен товар.

Заплашителни способности на Enigma Stealer

Третият полезен товар, разгърнат от заплахите, е Enigma Stealer. Той е проектиран да насочва към системна информация, токени и пароли, съхранявани в уеб браузъри, като Google Chrome, Microsoft Edge, Opera и други. Освен това, той също може да заснема екранни снимки от компрометираната система, да извлича съдържание от клипборда и VPN конфигурации.

Enigma Stealer също може да насочва към данни, съхранявани в Microsoft Outlook, Telegram, Signal, OpenVPN и други приложения. Цялата събрана информация се компресира в ZIP архив („Data.zip“), който се изпраща обратно на участниците в заплахата чрез Telegram. За по-нататъшно прикриване на собствените си данни и предотвратяване на неоторизиран достъп или подправяне, някои от низовете на Enigma, като пътища на уеб браузър и URL адреси на услуги за API за геолокация, са криптирани в режим Cipher Block Chaining (CBC) с алгоритъма Advanced Encryption Standard (AES).