Enigma Stealer

Russiske trusselsaktører har udtænkt en kampagne, der er rettet mod østeuropæere, der arbejder i kryptovalutaindustrien. Ved at bruge falske jobtilbud sigter de mod at inficere deres ofre med en hidtil ukendt malware sporet som Enigma Stealer. Den truende operation er afhængig af et indviklet sæt stærkt slørede indlæsere, der udnytter en sårbarhed i en gammel Intel-driver. Denne teknik bruges til at reducere token-integriteten af Microsoft Defender og dermed omgå dets sikkerhedsforanstaltninger.

Alle disse taktikker bruges til at få adgang til fortrolige data og kompromittere ofrenes maskiner. Detaljer om Enigma Stealer og angrebskampagnens infrastruktur blev afsløret i en rapport fra sikkerhedsforskere. Ifølge deres resultater er Enigma en modificeret version af open source-malwaren Stealerium .

Enigma Stealers komplekse infektionskæde

Trusselsaktørerne bag Enigma Stealer bruger en dårlig e-mail til at angribe deres ofre. E-mails, der foregiver at tilbyde jobmuligheder, inkluderer et vedhæftet RAR-arkiv, der indeholder en .TXT-fil med interviewspørgsmål skrevet på kyrillisk, samt en eksekverbar kaldet 'interview conditions.word.exe'. Hvis offeret induceres til at lancere den eksekverbare, udføres en multi-trins kæde af nyttelaster, som til sidst downloader Enigma-informationsindsamlende malware fra Telegram.

Nyttelasten i første trin er en C++-downloader, der bruger forskellige teknikker til at undgå registrering, mens den downloader og starter anden trins nyttelast, 'UpdateTask.dll.' Dette andet trin udnytter teknikken 'Bring Your Own Vulnerable Driver' (BYOVD) til at udnytte CVE-2015-2291 Intel-sårbarheden, som gør det muligt at udføre kommandoer med kernerettigheder. Dette bruges derefter af trusselsaktørerne til at deaktivere Microsoft Defender, før malwaren downloader den tredje nyttelast.

Enigma Stealers truende egenskaber

Den tredje nyttelast indsat af trusselsaktørerne er Enigma Stealer. Den er designet til at målrette mod systemoplysninger, tokens og adgangskoder, der er gemt i webbrowsere, såsom Google Chrome, Microsoft Edge, Opera og mere. Desuden kan det også tage skærmbilleder fra det kompromitterede system, udtrække udklipsholderindhold og VPN-konfigurationer.

Enigma Stealer er også i stand til at målrette mod data gemt i Microsoft Outlook, Telegram, Signal, OpenVPN og andre applikationer. Al indsamlet information komprimeres til et ZIP-arkiv ('Data.zip'), som sendes tilbage til trusselsaktørerne via Telegram. For yderligere at skjule sine egne data og forhindre uautoriseret adgang eller manipulation, er nogle af Enigmas strenge, såsom webbrowserstier og Geolocation API-tjenesters URL'er, krypteret i tilstanden Cipher Block Chaining (CBC) med Advanced Encryption Standard (AES) algoritmen.