Enigma Stealer

Els actors russos d'amenaça han ideat una campanya dirigida als europeus de l'Est que treballen a la indústria de la criptomoneda. Mitjançant l'ús d'ofertes de feina falses, pretenen infectar les seves víctimes amb un programari maliciós desconegut prèviament rastrejat com a Enigma Stealer. L'operació amenaçadora es basa en un complex conjunt de carregadors molt ofuscats que exploten una vulnerabilitat en un controlador Intel antic. Aquesta tècnica s'utilitza per reduir la integritat del testimoni de Microsoft Defender i, per tant, evitar les seves mesures de seguretat.

Totes aquestes tàctiques s'utilitzen per accedir a dades confidencials i comprometre les màquines de les víctimes. Els detalls sobre l'Enigma Stealer i la infraestructura de la campanya d'atac es van revelar en un informe d'investigadors de seguretat. Segons les seves troballes, Enigma és una versió modificada del programari maliciós de codi obert Stealerium .

Cadena d'infecció complexa d'Enigma Stealer

Els actors d'amenaça darrere de l'Enigma Stealer estan utilitzant un correu electrònic malintencionat per atacar les seves víctimes. Els correus electrònics que pretenen oferir oportunitats laborals inclouen un arxiu RAR adjunt que conté un fitxer .TXT amb preguntes d'entrevista escrites en ciríl·lic, així com un executable anomenat "interview conditions.word.exe". Si la víctima és induïda a llançar l'executable, s'executa una cadena de càrregues útils en diverses etapes, que finalment descarrega el programari maliciós de recollida d'informació Enigma de Telegram.

La càrrega útil de la primera etapa és un descarregador de C++ que utilitza diverses tècniques per evadir la detecció mentre baixa i llança la càrrega útil de la segona fase, "UpdateTask.dll". Aquesta segona fase d'explotació aprofita la tècnica "Bring Your own Vulnerable Driver" (BYOVD) per explotar la vulnerabilitat d'Intel CVE-2015-2291, que permet executar ordres amb privilegis del nucli. Aleshores, els actors de l'amenaça l'utilitzen per desactivar Microsoft Defender abans que el programari maliciós descarregui la tercera càrrega útil.

Capacitats d'amenaça d'Enigma Stealer

La tercera càrrega útil desplegada pels actors de l'amenaça és l'Enigma Stealer. Està dissenyat per orientar la informació del sistema, els testimonis i les contrasenyes emmagatzemades als navegadors web, com ara Google Chrome, Microsoft Edge, Opera i més. A més, també pot capturar captures de pantalla del sistema compromès, extreure contingut del porta-retalls i configuracions de VPN.

L'Enigma Stealer també és capaç d'orientar les dades emmagatzemades a Microsoft Outlook, Telegram, Signal, OpenVPN i altres aplicacions. Tota la informació recopilada es comprimeix en un arxiu ZIP ('Data.zip'), que s'envia als actors de l'amenaça mitjançant Telegram. Per ocultar encara més les seves pròpies dades i evitar l'accés no autoritzat o la manipulació, algunes de les cadenes d'Enigma, com ara els camins del navegador web i els URL dels serveis de l'API de geolocalització, es xifren en mode Cipher Block Chaining (CBC) amb l'algoritme Advanced Encryption Standard (AES).