Enigma Stealer
بازیگران تهدید روسیه کمپینی را طراحی کرده اند که اروپای شرقی را که در صنعت ارزهای دیجیتال کار می کنند، هدف قرار می دهد. با استفاده از پیشنهادهای شغلی جعلی، آنها قصد دارند قربانیان خود را با بدافزاری که قبلاً ناشناخته بود، تحت عنوان Enigma Stealer آلوده کنند. این عملیات تهدیدآمیز متکی به مجموعه پیچیده ای از لودرهای بسیار مبهم است که از یک آسیب پذیری در درایور قدیمی اینتل سوء استفاده می کنند. این تکنیک برای کاهش یکپارچگی توکن Microsoft Defender و در نتیجه دور زدن اقدامات امنیتی آن استفاده می شود.
همه این تاکتیک ها برای دسترسی به داده های محرمانه و به خطر انداختن ماشین های قربانیان استفاده می شود. جزئیات مربوط به Enigma Stealer و زیرساخت کمپین حمله در گزارشی توسط محققان امنیتی فاش شد. بر اساس یافته های آنها، Enigma نسخه اصلاح شده بدافزار منبع باز Stealerium است.
زنجیره عفونت پیچیده Enigma Stealer
بازیگران تهدید پشت Enigma Stealer از یک ایمیل بد فکر برای حمله به قربانیان خود استفاده می کنند. ایمیلهایی که تظاهر به ارائه فرصتهای شغلی میکنند شامل یک آرشیو RAR پیوست شده حاوی یک فایل TXT با سؤالات مصاحبه به زبان سیریلیک و همچنین یک فایل اجرایی به نام «interview condition.word.exe» است. اگر قربانی وادار به راهاندازی فایل اجرایی شود، یک زنجیره چند مرحلهای از payload اجرا میشود که در نهایت بدافزار جمعآوری اطلاعات Enigma را از تلگرام دانلود میکند.
بارگیری مرحله اول یک دانلودکننده ++C است که از تکنیکهای مختلفی برای فرار از شناسایی هنگام دانلود و راهاندازی مرحله دوم، «UpdateTask.dll» استفاده میکند. این اکسپلویت مرحله دوم از تکنیک «درایور آسیبپذیر خود را بیاورید» (BYOVD) برای سوء استفاده از آسیبپذیری CVE-2015-2291 اینتل استفاده میکند، که اجازه میدهد دستورات با امتیازات کرنل اجرا شوند. سپس توسط عوامل تهدید برای غیرفعال کردن Microsoft Defender قبل از بارگیری سومین بار توسط بدافزار استفاده می شود.
قابلیت های تهدید کننده Enigma Stealer
سومین محموله ای که توسط بازیگران تهدید مستقر شده است Enigma Stealer است. این برای هدف قرار دادن اطلاعات سیستم، نشانه ها و رمزهای عبور ذخیره شده در مرورگرهای وب مانند Google Chrome، Microsoft Edge، Opera و غیره طراحی شده است. علاوه بر این، ممکن است تصاویری از سیستم در معرض خطر گرفته شود، محتوای کلیپ بورد و تنظیمات VPN را استخراج کند.
Enigma Stealer همچنین می تواند داده های ذخیره شده در Microsoft Outlook، Telegram، Signal، OpenVPN و سایر برنامه ها را هدف قرار دهد. تمام اطلاعات جمع آوری شده در یک آرشیو ZIP ('Data.zip') فشرده می شود که از طریق تلگرام برای عوامل تهدید ارسال می شود. برای پنهان کردن بیشتر دادههای خود و جلوگیری از دسترسی یا دستکاری غیرمجاز، برخی از رشتههای Enigma، مانند مسیرهای مرورگر وب و آدرسهای خدمات API مکان جغرافیایی، در حالت زنجیره بلوک رمز (CBC) با الگوریتم استاندارد رمزگذاری پیشرفته (AES) رمزگذاری میشوند.