אניגמה גנב
שחקני איומים רוסים המציאו קמפיין שמכוון למזרח אירופה העובדים בתעשיית מטבעות הקריפטו. על ידי שימוש בהצעות עבודה מזויפות, הם שואפים להדביק את הקורבנות שלהם בתוכנה זדונית שלא הייתה ידועה קודם לכן, המעקבת היא גניבת Enigma. הפעולה המאיימת מסתמכת על קבוצה מורכבת של מעמיסים מעורפלים מאוד המנצלים פגיעות במנהל התקן ישן של אינטל. טכניקה זו משמשת להפחתת שלמות האסימונים של Microsoft Defender וכתוצאה מכך לעקוף את אמצעי האבטחה שלה.
כל הטקטיקות הללו משמשות כדי לקבל גישה לנתונים חסויים ולסכן את המכונות של הקורבנות. פרטים על הגניבה של האניגמה ועל תשתית מסע התקיפה נחשפו בדו"ח של חוקרי אבטחה. לפי הממצאים שלהם, Enigma היא גרסה שונה של תוכנת הזדונית Stealerium בקוד פתוח.
שרשרת ההדבקה המורכבת של Enigma Stealer
שחקני האיומים שמאחורי גניבת האניגמה משתמשים בדוא"ל חסר אופקים כדי לתקוף את הקורבנות שלהם. האימיילים המתיימרים להציע הזדמנויות עבודה כוללות ארכיון RAR מצורף המכיל קובץ .TXT עם שאלות ראיונות כתובות בקירילית, וכן קובץ הפעלה בשם 'interview conditions.word.exe'. אם הקורבן מושרה להשיק את קובץ ההפעלה, מבוצעת שרשרת רב-שלבית של מטענים, שבסופו של דבר מורידה את התוכנה הזדונית איסוף מידע אניגמה מטלגרם.
מטען השלב הראשון הוא הורדת C++ המשתמש בטכניקות שונות כדי להתחמק מזיהוי תוך הורדה והשקה של מטען השלב השני, 'UpdateTask.dll'. ניצול שלב שני זה ממנף את טכניקת 'Bring Your Own Vulnerable Driver' (BYOVD) כדי לנצל את הפגיעות CVE-2015-2291 Intel, המאפשרת לבצע פקודות עם הרשאות ליבה. זה משמש אז את שחקני האיום כדי להשבית את Microsoft Defender לפני שהתוכנה הזדונית מורידה את המטען השלישי.
היכולות המאיימות של Enigma Stealer
המטען השלישי שנפרס על ידי שחקני האיומים הוא הגניבה של האניגמה. הוא נועד למקד מידע מערכת, אסימונים וסיסמאות המאוחסנים בדפדפני אינטרנט, כגון Google Chrome, Microsoft Edge, Opera ועוד. יתר על כן, הוא גם עשוי לצלם צילומי מסך מהמערכת שנפרצה, לחלץ תוכן של לוח ותצורות VPN.
הגניבה של Enigma גם מסוגלת לכוון לנתונים המאוחסנים ב-Microsoft Outlook, Telegram, Signal, OpenVPN ויישומים אחרים. כל המידע שנאסף נדחס לארכיון ZIP ('Data.zip'), אשר נשלח בחזרה לגורמי האיום באמצעות טלגרם. כדי להסתיר עוד יותר את הנתונים שלה ולמנוע גישה בלתי מורשית או שיבוש, חלק מהמחרוזות של Enigma, כגון נתיבי דפדפן אינטרנט וכתובות URL של שירותי Geolocation API, מוצפנות במצב Chipher Block Chaining (CBC) עם האלגוריתם Advanced Encryption Standard (AES).
