Enigma Stealer

Venemaa ohus osalejad on välja töötanud kampaania, mis on suunatud krüptovaluutatööstuses töötavatele idaeurooplastele. Kasutades võltsitud tööpakkumisi, on nende eesmärk nakatada oma ohvreid varem tundmatu pahavaraga, mida jälgitakse kui Enigma Stealer. Ähvardav operatsioon tugineb keerulisele tugevalt segatud laaduritele, mis kasutavad ära vana Inteli draiveri haavatavust. Seda tehnikat kasutatakse Microsoft Defenderi märgi terviklikkuse vähendamiseks ja sellest tulenevalt selle turvameetmetest möödahiilimiseks.

Kõiki neid taktikaid kasutatakse konfidentsiaalsetele andmetele juurdepääsu saamiseks ja ohvrite masinate ohustamiseks. Üksikasjad Enigma Stealeri ja ründekampaania infrastruktuuri kohta selgusid turvateadlaste raportist. Nende leidude kohaselt on Enigma avatud lähtekoodiga pahavara Stealerium muudetud versioon.

Enigma Stealeri kompleksne nakkusahel

Enigma Stealeri taga olevad ohustajad kasutavad oma ohvrite ründamiseks pahatahtlikku e-kirja. E-kirjad, mis teesklevad töövõimalusi, sisaldavad lisatud RAR-arhiivi, mis sisaldab TXT-faili kirillitsas kirjutatud intervjuuküsimustega, ning käivitatavat faili nimega "intervjuu tingimused.word.exe". Kui ohver ärgitatakse käivitama käivitatavat faili, käivitatakse mitmeastmeline kasulike koormuste ahel, mis lõpuks laadib Telegramist alla Enigma teavet koguva pahavara.

Esimese astme kasulik koormus on C++ allalaadija, mis kasutab teise astme kasuliku koormuse (UpdateTask.dll) allalaadimisel ja käivitamisel tuvastamisest kõrvalehoidmiseks erinevaid tehnikaid. See teise etapi ärakasutamine kasutab BYOVD (Bring Your own Vulnerable Driver) tehnikat, et kasutada ära Inteli haavatavust CVE-2015-2291, mis võimaldab käske täita kerneli õigustega. Seejärel kasutavad ohus osalejad seda Microsoft Defenderi keelamiseks enne, kui pahavara kolmanda kasuliku koorma alla laadib.

Enigma Stealeri ähvardamisvõimalused

Kolmas ohtlike osapoolte poolt kasutusele võetud kasulik koormus on Enigma Stealer. See on loodud veebibrauseritesse (nt Google Chrome, Microsoft Edge, Opera ja mujale) salvestatud süsteemiteabe, žetoonide ja paroolide sihtimiseks. Lisaks võib see jäädvustada ka ohustatud süsteemist ekraanipilte, eraldada lõikepuhvri sisu ja VPN-i konfiguratsioone.

Enigma Stealer on võimeline sihtima ka Microsoft Outlooki, Telegrami, Signaali, OpenVPN-i ja muudesse rakendustesse salvestatud andmeid. Kogu kogutud teave tihendatakse ZIP-arhiivi (Data.zip), mis saadetakse Telegrami kaudu ohus osalejatele tagasi. Enigma andmete edasiseks varjamiseks ja volitamata juurdepääsu või rikkumiste vältimiseks krüpteeritakse mõned Enigma stringid, näiteks veebibrauseri teed ja geolokatsiooni API-teenuste URL-id, šifriplokiahela (CBC) režiimis täiustatud krüpteerimisstandardi (AES) algoritmiga.