पहेली चोर

रूसी खतरे के अभिनेताओं ने एक अभियान तैयार किया है जो क्रिप्टोक्यूरेंसी उद्योग में काम कर रहे पूर्वी यूरोपीय लोगों को लक्षित करता है। फर्जी नौकरी के प्रस्तावों का उपयोग करके, वे अपने पीड़ितों को एनिग्मा स्टीलर के रूप में ट्रैक किए गए पहले से अज्ञात मैलवेयर से संक्रमित करना चाहते हैं। धमकी देने वाला ऑपरेशन एक पुराने इंटेल ड्राइवर में भेद्यता का फायदा उठाने वाले भारी बोझ वाले लोडरों के एक जटिल सेट पर निर्भर करता है। इस तकनीक का उपयोग Microsoft डिफेंडर की टोकन अखंडता को कम करने के लिए किया जाता है और इसके परिणामस्वरूप इसके सुरक्षा उपायों को दरकिनार कर दिया जाता है।

इन सभी युक्तियों का उपयोग गोपनीय डेटा तक पहुंच प्राप्त करने और पीड़ितों की मशीनों से समझौता करने के लिए किया जाता है। सुरक्षा शोधकर्ताओं की एक रिपोर्ट में एनिग्मा चोरी करने वाले और हमले के अभियान के बुनियादी ढांचे के बारे में विवरण सामने आया था। उनके निष्कर्षों के अनुसार, एनिग्मा ओपन-सोर्स मैलवेयर स्टीलेरियम का एक संशोधित संस्करण है।

एनिग्मा स्टीलर की जटिल संक्रमण श्रृंखला

Enigma Stealer के पीछे के खतरे वाले अभिनेता अपने पीड़ितों पर हमला करने के लिए एक दुर्भावनापूर्ण ईमेल का उपयोग कर रहे हैं। नौकरी के अवसरों की पेशकश करने का दिखावा करने वाले ईमेल में एक संलग्न आरएआर संग्रह शामिल है जिसमें एक .TXT फ़ाइल है जिसमें सिरिलिक में लिखे गए साक्षात्कार प्रश्न हैं, साथ ही 'साक्षात्कार की स्थिति.word.exe' नामक एक निष्पादन योग्य है। यदि पीड़ित को निष्पादन योग्य लॉन्च करने के लिए प्रेरित किया जाता है, तो पेलोड की एक बहु-स्तरीय श्रृंखला निष्पादित की जाती है, जो अंततः टेलीग्राम से एनिग्मा सूचना-संग्रहित मैलवेयर को डाउनलोड करती है।

प्रथम चरण का पेलोड एक C++ डाउनलोडर है जो दूसरे चरण के पेलोड 'UpdateTask.dll' को डाउनलोड और लॉन्च करते समय पता लगाने से बचने के लिए विभिन्न तकनीकों का उपयोग करता है। यह दूसरा चरण शोषण सीवीई-2015-2291 इंटेल भेद्यता का फायदा उठाने के लिए 'ब्रिंग योर ओन वल्नरेबल ड्राइवर' (बीओओवीडी) तकनीक का लाभ उठाता है, जो कमांड को कर्नेल विशेषाधिकारों के साथ निष्पादित करने की अनुमति देता है। इसके बाद खतरा कर्ताओं द्वारा Microsoft डिफेंडर को अक्षम करने के लिए उपयोग किया जाता है, इससे पहले कि मैलवेयर तीसरे पेलोड को डाउनलोड करे।

एनिग्मा स्टीलर की खतरनाक क्षमताएं

थ्रेट एक्टर्स द्वारा तैनात किया गया तीसरा पेलोड एनिग्मा स्टीलर है। इसे Google Chrome, Microsoft Edge, Opera आदि जैसे वेब ब्राउज़र में संग्रहीत सिस्टम जानकारी, टोकन और पासवर्ड को लक्षित करने के लिए डिज़ाइन किया गया है। इसके अलावा, यह समझौता किए गए सिस्टम से स्क्रीनशॉट भी ले सकता है, क्लिपबोर्ड सामग्री और वीपीएन कॉन्फ़िगरेशन निकाल सकता है।

Enigma Stealer Microsoft Outlook, Telegram, Signal, OpenVPN और अन्य अनुप्रयोगों में संग्रहीत डेटा को लक्षित करने में भी सक्षम है। सभी एकत्रित जानकारी को एक ZIP आर्काइव ('Data.zip') में कंप्रेस किया जाता है, जिसे टेलीग्राम के माध्यम से धमकी देने वालों को वापस भेज दिया जाता है। अपने स्वयं के डेटा को और छुपाने और अनधिकृत पहुंच या छेड़छाड़ को रोकने के लिए, Enigma की कुछ स्ट्रिंग्स, जैसे कि वेब ब्राउज़र पथ और जियोलोकेशन API सेवाओं के URL, उन्नत एन्क्रिप्शन स्टैंडर्ड (AES) एल्गोरिथम के साथ सिफर ब्लॉक चेनिंग (CBC) मोड में एन्क्रिप्ट किए गए हैं।