এনিগমা স্টিলার
রাশিয়ান হুমকি অভিনেতারা একটি প্রচারণা তৈরি করেছে যা ক্রিপ্টোকারেন্সি শিল্পে কাজ করা পূর্ব ইউরোপীয়দের লক্ষ্য করে। জাল চাকরীর অফার ব্যবহার করে, তারা তাদের শিকারকে এনিগমা স্টিলার হিসাবে ট্র্যাক করা পূর্বে অজানা ম্যালওয়্যার দ্বারা সংক্রামিত করার লক্ষ্য রাখে। ভীতিকর অপারেশনটি ভারীভাবে অস্পষ্ট লোডারগুলির একটি জটিল সেটের উপর নির্ভর করে যা একটি পুরানো ইন্টেল ড্রাইভারের দুর্বলতাকে কাজে লাগায়। এই কৌশলটি মাইক্রোসফ্ট ডিফেন্ডারের টোকেন অখণ্ডতা হ্রাস করতে এবং ফলস্বরূপ এর সুরক্ষা ব্যবস্থাগুলিকে বাইপাস করতে ব্যবহৃত হয়।
এই সমস্ত কৌশলগুলি গোপনীয় ডেটা অ্যাক্সেস পেতে এবং ক্ষতিগ্রস্তদের মেশিনে আপস করতে ব্যবহৃত হয়। নিরাপত্তা গবেষকদের একটি প্রতিবেদনে এনিগমা স্টিলার এবং আক্রমণ অভিযানের পরিকাঠামো সম্পর্কে বিশদ প্রকাশ করা হয়েছে। তাদের অনুসন্ধান অনুসারে, এনিগমা হল ওপেন-সোর্স ম্যালওয়্যার স্টিলেরিয়ামের একটি পরিবর্তিত সংস্করণ।
এনিগমা স্টিলারের জটিল সংক্রমণ চেইন
এনিগমা স্টিলারের পিছনের হুমকি অভিনেতারা তাদের শিকারদের আক্রমণ করার জন্য একটি অস্বাভাবিক ইমেল ব্যবহার করছে। চাকরির সুযোগ দেওয়ার ভান করা ইমেলগুলির মধ্যে একটি সংযুক্ত RAR সংরক্ষণাগার রয়েছে যাতে সিরিলিক ভাষায় লেখা ইন্টারভিউ প্রশ্ন সহ একটি .TXT ফাইল রয়েছে, সেইসাথে 'interview conditions.word.exe' নামে একটি এক্সিকিউটেবল। যদি শিকারকে এক্সিকিউটেবল চালু করতে প্ররোচিত করা হয়, তাহলে পেলোডের একটি মাল্টি-স্টেজ চেইন কার্যকর করা হয়, যা অবশেষে টেলিগ্রাম থেকে এনিগমা তথ্য-সংগ্রহকারী ম্যালওয়্যার ডাউনলোড করে।
প্রথম পর্যায়ের পেলোড হল একটি C++ ডাউনলোডার যেটি দ্বিতীয় পর্যায়ের পেলোড ডাউনলোড এবং চালু করার সময় সনাক্তকরণ এড়াতে বিভিন্ন কৌশল ব্যবহার করে, 'UpdateTask.dll'। এই দ্বিতীয় ধাপে CVE-2015-2291 ইন্টেল দুর্বলতাকে কাজে লাগানোর জন্য 'Bring Your own Vulnerable Driver' (BYOVD) কৌশল ব্যবহার করে, যা কার্নেল বিশেষাধিকারের সাথে কমান্ডগুলি কার্যকর করার অনুমতি দেয়। ম্যালওয়্যার তৃতীয় পেলোড ডাউনলোড করার আগে মাইক্রোসফ্ট ডিফেন্ডারকে অক্ষম করতে হুমকি অভিনেতারা এটি ব্যবহার করে।
এনিগমা স্টিলারের হুমকির ক্ষমতা
হুমকি অভিনেতাদের দ্বারা মোতায়েন করা তৃতীয় পেলোড হল এনিগমা স্টিলার। এটি ওয়েব ব্রাউজার, যেমন গুগল ক্রোম, মাইক্রোসফ্ট এজ, অপেরা এবং আরও অনেক কিছুতে সঞ্চিত সিস্টেম তথ্য, টোকেন এবং পাসওয়ার্ডগুলিকে লক্ষ্য করার জন্য ডিজাইন করা হয়েছে৷ উপরন্তু, এটি আপস করা সিস্টেম থেকে স্ক্রিনশট ক্যাপচার করতে পারে, ক্লিপবোর্ড সামগ্রী এবং VPN কনফিগারেশনগুলি বের করতে পারে।
এনিগমা স্টিলার মাইক্রোসফ্ট আউটলুক, টেলিগ্রাম, সিগন্যাল, ওপেনভিপিএন এবং অন্যান্য অ্যাপ্লিকেশনগুলিতে সঞ্চিত ডেটা লক্ষ্য করতেও সক্ষম। সমস্ত সংগৃহীত তথ্য একটি ZIP সংরক্ষণাগারে ('Data.zip') সংকুচিত করা হয়, যা টেলিগ্রামের মাধ্যমে হুমকি অভিনেতাদের কাছে ফেরত পাঠানো হয়। নিজের ডেটা আরও গোপন করতে এবং অননুমোদিত অ্যাক্সেস বা টেম্পারিং প্রতিরোধ করতে, এনিগমার কিছু স্ট্রিং, যেমন ওয়েব ব্রাউজার পাথ এবং জিওলোকেশন API পরিষেবার URL, অ্যাডভান্সড এনক্রিপশন স্ট্যান্ডার্ড (AES) অ্যালগরিদমের সাথে সাইফার ব্লক চেইনিং (CBC) মোডে এনক্রিপ্ট করা হয়েছে।
