Enigma Stealer

Ρώσοι παράγοντες απειλών έχουν επινοήσει μια καμπάνια που στοχεύει τους Ανατολικοευρωπαίους που εργάζονται στη βιομηχανία κρυπτονομισμάτων. Χρησιμοποιώντας ψεύτικες προσφορές εργασίας, στοχεύουν να μολύνουν τα θύματά τους με ένα προηγουμένως άγνωστο κακόβουλο λογισμικό που παρακολουθείται ως Enigma Stealer. Η απειλητική λειτουργία βασίζεται σε ένα περίπλοκο σύνολο βαριά σκοτεινών φορτωτών που εκμεταλλεύονται μια ευπάθεια σε ένα παλιό πρόγραμμα οδήγησης της Intel. Αυτή η τεχνική χρησιμοποιείται για τη μείωση της ακεραιότητας του Microsoft Defender και, κατά συνέπεια, την παράκαμψη των μέτρων ασφαλείας του.

Όλες αυτές οι τακτικές χρησιμοποιούνται για να αποκτήσουν πρόσβαση σε εμπιστευτικά δεδομένα και να παραβιάσουν τις μηχανές των θυμάτων. Λεπτομέρειες για το Enigma Stealer και την υποδομή της εκστρατείας επίθεσης αποκαλύφθηκαν σε έκθεση ερευνητών ασφαλείας. Σύμφωνα με τα ευρήματά τους, το Enigma είναι μια τροποποιημένη έκδοση του κακόβουλου λογισμικού ανοιχτού κώδικα Stealerium .

Enigma Stealer's Complex Infection Chain

Οι ηθοποιοί απειλών πίσω από το Enigma Stealer χρησιμοποιούν ένα κακόβουλο email για να επιτεθούν στα θύματά τους. Τα email που προσποιούνται ότι προσφέρουν ευκαιρίες εργασίας περιλαμβάνουν ένα συνημμένο αρχείο RAR που περιέχει ένα αρχείο .TXT με ερωτήσεις συνέντευξης γραμμένες στα κυριλλικά, καθώς και ένα εκτελέσιμο αρχείο που ονομάζεται «interviewconditions.word.exe». Εάν το θύμα παρακινηθεί να εκκινήσει το εκτελέσιμο αρχείο, εκτελείται μια αλυσίδα πολλαπλών σταδίων ωφέλιμων φορτίων, η οποία τελικά κατεβάζει το κακόβουλο λογισμικό συλλογής πληροφοριών Enigma από το Telegram.

Το ωφέλιμο φορτίο πρώτου σταδίου είναι ένα πρόγραμμα λήψης C++ που χρησιμοποιεί διάφορες τεχνικές για να αποφύγει τον εντοπισμό κατά τη λήψη και εκκίνηση του ωφέλιμου φορτίου δεύτερου σταδίου, το 'UpdateTask.dll'. Αυτή η εκμετάλλευση δεύτερου σταδίου αξιοποιεί την τεχνική «Φέρτε το δικό σας ευάλωτο πρόγραμμα οδήγησης» (BYOVD) για την εκμετάλλευση της ευπάθειας CVE-2015-2291 της Intel, η οποία επιτρέπει την εκτέλεση εντολών με δικαιώματα πυρήνα. Στη συνέχεια, αυτό χρησιμοποιείται από τους φορείς απειλών για να απενεργοποιήσουν το Microsoft Defender πριν το κακόβουλο λογισμικό κατεβάσει το τρίτο ωφέλιμο φορτίο.

Απειλητικές ικανότητες του Enigma Stealer

Το τρίτο ωφέλιμο φορτίο που αναπτύχθηκε από τους ηθοποιούς απειλών είναι το Enigma Stealer. Έχει σχεδιαστεί για να στοχεύει πληροφορίες συστήματος, διακριτικά και κωδικούς πρόσβασης που είναι αποθηκευμένοι σε προγράμματα περιήγησης Ιστού, όπως το Google Chrome, το Microsoft Edge, το Opera και άλλα. Επιπλέον, μπορεί επίσης να τραβήξει στιγμιότυπα οθόνης από το παραβιασμένο σύστημα, να εξάγει περιεχόμενο του προχείρου και διαμορφώσεις VPN.

Το Enigma Stealer είναι επίσης ικανό να στοχεύει δεδομένα που είναι αποθηκευμένα στο Microsoft Outlook, Telegram, Signal, OpenVPN και άλλες εφαρμογές. Όλες οι πληροφορίες που συλλέγονται συμπιέζονται σε ένα αρχείο ZIP («Data.zip»), το οποίο αποστέλλεται πίσω στους φορείς απειλών μέσω Telegram. Για την περαιτέρω απόκρυψη των δικών του δεδομένων και την αποφυγή μη εξουσιοδοτημένης πρόσβασης ή παραβίασης, ορισμένες από τις συμβολοσειρές του Enigma, όπως οι διαδρομές του προγράμματος περιήγησης στο Web και οι διευθύνσεις URL υπηρεσιών Geolocation API, κρυπτογραφούνται σε λειτουργία Αλυσίδας μπλοκ κρυπτογράφησης (CBC) με τον αλγόριθμο Advanced Encryption Standard (AES).