Enigma Stealer

بازیگران تهدید روسیه کمپینی را طراحی کرده اند که اروپای شرقی را که در صنعت ارزهای دیجیتال کار می کنند، هدف قرار می دهد. با استفاده از پیشنهادهای شغلی جعلی، آنها قصد دارند قربانیان خود را با بدافزاری که قبلاً ناشناخته بود، تحت عنوان Enigma Stealer آلوده کنند. این عملیات تهدیدآمیز متکی به مجموعه پیچیده ای از لودرهای بسیار مبهم است که از یک آسیب پذیری در درایور قدیمی اینتل سوء استفاده می کنند. این تکنیک برای کاهش یکپارچگی توکن Microsoft Defender و در نتیجه دور زدن اقدامات امنیتی آن استفاده می شود.

همه این تاکتیک ها برای دسترسی به داده های محرمانه و به خطر انداختن ماشین های قربانیان استفاده می شود. جزئیات مربوط به Enigma Stealer و زیرساخت کمپین حمله در گزارشی توسط محققان امنیتی فاش شد. بر اساس یافته های آنها، Enigma نسخه اصلاح شده بدافزار منبع باز Stealerium است.

زنجیره عفونت پیچیده Enigma Stealer

بازیگران تهدید پشت Enigma Stealer از یک ایمیل بد فکر برای حمله به قربانیان خود استفاده می کنند. ایمیل‌هایی که تظاهر به ارائه فرصت‌های شغلی می‌کنند شامل یک آرشیو RAR پیوست شده حاوی یک فایل TXT با سؤالات مصاحبه به زبان سیریلیک و همچنین یک فایل اجرایی به نام «interview condition.word.exe» است. اگر قربانی وادار به راه‌اندازی فایل اجرایی شود، یک زنجیره چند مرحله‌ای از payload اجرا می‌شود که در نهایت بدافزار جمع‌آوری اطلاعات Enigma را از تلگرام دانلود می‌کند.

بارگیری مرحله اول یک دانلودکننده ++C است که از تکنیک‌های مختلفی برای فرار از شناسایی هنگام دانلود و راه‌اندازی مرحله دوم، «UpdateTask.dll» استفاده می‌کند. این اکسپلویت مرحله دوم از تکنیک «درایور آسیب‌پذیر خود را بیاورید» (BYOVD) برای سوء استفاده از آسیب‌پذیری CVE-2015-2291 اینتل استفاده می‌کند، که اجازه می‌دهد دستورات با امتیازات کرنل اجرا شوند. سپس توسط عوامل تهدید برای غیرفعال کردن Microsoft Defender قبل از بارگیری سومین بار توسط بدافزار استفاده می شود.

قابلیت های تهدید کننده Enigma Stealer

سومین محموله ای که توسط بازیگران تهدید مستقر شده است Enigma Stealer است. این برای هدف قرار دادن اطلاعات سیستم، نشانه ها و رمزهای عبور ذخیره شده در مرورگرهای وب مانند Google Chrome، Microsoft Edge، Opera و غیره طراحی شده است. علاوه بر این، ممکن است تصاویری از سیستم در معرض خطر گرفته شود، محتوای کلیپ بورد و تنظیمات VPN را استخراج کند.

Enigma Stealer همچنین می تواند داده های ذخیره شده در Microsoft Outlook، Telegram، Signal، OpenVPN و سایر برنامه ها را هدف قرار دهد. تمام اطلاعات جمع آوری شده در یک آرشیو ZIP ('Data.zip') فشرده می شود که از طریق تلگرام برای عوامل تهدید ارسال می شود. برای پنهان کردن بیشتر داده‌های خود و جلوگیری از دسترسی یا دستکاری غیرمجاز، برخی از رشته‌های Enigma، مانند مسیرهای مرورگر وب و آدرس‌های خدمات API مکان جغرافیایی، در حالت زنجیره بلوک رمز (CBC) با الگوریتم استاندارد رمزگذاری پیشرفته (AES) رمزگذاری می‌شوند.