Enigma Stealer

Venäläiset uhkatoimijat ovat kehittäneet kampanjan, joka on suunnattu kryptovaluuttaalalla työskenteleville itäeurooppalaisille. Väärennettyjä työtarjouksia käyttämällä he pyrkivät saastuttaa uhrinsa aiemmin tuntemattomalla haittaohjelmalla, jota jäljitetään nimellä Enigma Stealer. Uhkaava operaatio perustuu monimutkaiseen joukkoon voimakkaasti hämärtyneitä latauslaitteita, jotka käyttävät hyväkseen vanhan Intel-ohjaimen haavoittuvuutta. Tätä tekniikkaa käytetään vähentämään Microsoft Defenderin tunnuksen eheyttä ja siten ohittamaan sen suojaustoimenpiteet.

Kaikkia näitä taktiikoita käytetään luottamuksellisten tietojen saamiseen ja uhrien koneiden vaarantamiseen. Yksityiskohdat Enigma Stealerista ja hyökkäyskampanjan infrastruktuurista paljastettiin turvallisuustutkijoiden raportissa. Heidän havaintojensa mukaan Enigma on muunneltu versio avoimen lähdekoodin haittaohjelmasta Stealerium .

Enigma Stealerin monimutkainen infektioketju

Enigma Stealerin takana olevat uhkatekijät käyttävät pahantahtoista sähköpostia hyökätäkseen uhriensa kimppuun. Sähköpostit, joissa väitetään tarjoavan työpaikkoja, sisältävät liitteenä olevan RAR-arkiston, joka sisältää .TXT-tiedoston, jossa on kyrillisillä kirjaimilla kirjoitettuja haastattelukysymyksiä, sekä suoritettavan tiedoston nimeltä Interview conditions.word.exe. Jos uhri kannustetaan käynnistämään suoritettavan tiedoston, suoritetaan monivaiheinen hyötykuormien ketju, joka lopulta lataa Enigma-tietoa keräävän haittaohjelman Telegramista.

Ensimmäisen vaiheen hyötykuorma on C++-latausohjelma, joka käyttää erilaisia tekniikoita havaitsemisen välttämiseksi, kun ladataan ja käynnistetään toisen vaiheen hyötykuorma, "UpdateTask.dll". Tämä toisen vaiheen hyväksikäyttö hyödyntää BYOVD (Bring Your own Vulnerable Driver) -tekniikkaa hyödyntääkseen Intelin CVE-2015-2291 haavoittuvuutta, joka mahdollistaa komentojen suorittamisen ytimen oikeuksilla. Uhkatoimijat käyttävät tätä poistaakseen Microsoft Defenderin käytöstä, ennen kuin haittaohjelma lataa kolmannen hyötykuorman.

Enigma Stealerin uhkailuominaisuudet

Kolmas uhkatoimijoiden käyttämä hyötykuorma on Enigma Stealer. Se on suunniteltu kohdistamaan verkkoselaimiin, kuten Google Chrome, Microsoft Edge, Opera ja muihin, tallennettuihin järjestelmätietoihin, tunnuksiin ja salasanoihin. Lisäksi se voi myös kaapata kuvakaappauksia vaarantuneesta järjestelmästä, poimia leikepöydän sisältöä ja VPN-kokoonpanoja.

Enigma Stealer pystyy myös kohdistamaan Microsoft Outlookiin, Telegramiin, Signaaliin, OpenVPN:ään ja muihin sovelluksiin tallennettuihin tietoihin. Kaikki kerätyt tiedot pakataan ZIP-arkistoon ('Data.zip'), joka lähetetään takaisin uhkatoimijoille Telegramin kautta. Omien tietojensa salaamiseksi ja luvattoman käytön tai peukaloinnin estämiseksi jotkin Enigman merkkijonoista, kuten Web-selainpolut ja Geolocation API -palvelujen URL-osoitteet, salataan Cipher Block Chaining (CBC) -tilassa Advanced Encryption Standard (AES) -algoritmilla.