Multilicenční slevy
Threat Database Malware Enigma Stealer

Enigma Stealer

V roce Mezo v roce Malware, Stealers
Přeložit do:
Čeština

Ruští aktéři hrozeb vymysleli kampaň, která se zaměřuje na východoevropany pracující v kryptoměnovém průmyslu. Pomocí falešných pracovních nabídek se snaží nakazit své oběti dříve neznámým malwarem sledovaným jako Enigma Stealer. Tato hrozivá operace se opírá o složitou sadu silně obfuskovaných zavaděčů, které využívají zranitelnost starého ovladače Intel. Tato technika se používá ke snížení integrity tokenu programu Microsoft Defender a následně k obcházení jeho bezpečnostních opatření.

Všechny tyto taktiky se používají k získání přístupu k důvěrným datům a kompromitaci strojů obětí. Podrobnosti o Enigma Stealer a infrastruktuře útočné kampaně byly odhaleny ve zprávě bezpečnostních výzkumníků. Podle jejich zjištění je Enigma upravenou verzí open-source malwaru Stealerium .

Komplexní infekční řetězec Enigma Stealer

Aktéři hrozeb, kteří stojí za zlodějem Enigmy, používají špatně myslící e-mail k útoku na své oběti. Mezi e-maily, které předstírají, že nabízejí pracovní příležitosti, patří přiložený archiv RAR obsahující soubor .TXT s otázkami k pohovoru napsanými v azbuce a také spustitelný soubor nazvaný „interview conditions.word.exe“. Pokud je oběť přimět ke spuštění spustitelného souboru, spustí se vícestupňový řetězec užitečných dat, který nakonec stáhne malware shromažďující informace Enigma z Telegramu.

Užitná část první fáze je stahovací program C++, který používá různé techniky k vyhnutí se detekci při stahování a spouštění druhé fáze, 'UpdateTask.dll'. Toto zneužití druhé fáze využívá techniku „Bring Your own Vulnerable Driver“ (BYOVD) ke zneužití zranitelnosti Intel CVE-2015-2291, která umožňuje spouštění příkazů s právy jádra. Toho pak aktéři hrozeb využijí k deaktivaci programu Microsoft Defender předtím, než malware stáhne třetí datovou část.

Enigma Stealer je ohrožující schopnosti

Třetím nákladem nasazeným aktéry hrozby je Enigma Stealer. Je navržen tak, aby cílil na systémové informace, tokeny a hesla uložená ve webových prohlížečích, jako je Google Chrome, Microsoft Edge, Opera a další. Kromě toho může také zachytit snímky obrazovky z napadeného systému, extrahovat obsah schránky a konfigurace VPN.

Enigma Stealer je také schopen cílit na data uložená v aplikacích Microsoft Outlook, Telegram, Signal, OpenVPN a dalších. Všechny shromážděné informace jsou komprimovány do archivu ZIP ('Data.zip'), který je zaslán zpět aktérům hrozby prostřednictvím telegramu. Pro další ukrytí vlastních dat a zabránění neoprávněnému přístupu nebo manipulaci jsou některé řetězce Enigmy, jako jsou cesty webového prohlížeče a adresy URL služeb Geolocation API, zašifrovány v režimu Cipher Block Chaining (CBC) pomocí algoritmu Advanced Encryption Standard (AES).

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...