Kradljivac enigme

Ruski akteri prijetnji osmislili su kampanju koja cilja na istočne Europljane koji rade u industriji kriptovaluta. Korištenjem lažnih ponuda za posao, cilj im je zaraziti svoje žrtve dosad nepoznatim zlonamjernim softverom koji se prati kao Enigma Stealer. Prijeteća operacija oslanja se na zamršeni skup jako zamagljenih učitavača koji iskorištavaju ranjivost u starom Intelovom upravljačkom programu. Ova se tehnika koristi za smanjenje integriteta tokena Microsoft Defendera i posljedično zaobilaženje njegovih sigurnosnih mjera.

Sve ove taktike koriste se za dobivanje pristupa povjerljivim podacima i kompromitiranje strojeva žrtava. Pojedinosti o Enigma Stealer-u i infrastrukturi kampanje napada otkrivene su u izvješću sigurnosnih istraživača. Prema njihovim nalazima, Enigma je modificirana verzija zlonamjernog softvera otvorenog koda Stealerium .

Složeni lanac zaraze kradljivca Enigme

Glumci prijetnje koji stoje iza Enigma Stealer-a koriste zlonamjernu e-poštu za napad na svoje žrtve. E-poruke koje se pretvaraju da nude prilike za posao uključuju priloženu RAR arhivu koja sadrži .TXT datoteku s pitanjima za intervju napisanim na ćirilici, kao i izvršnu datoteku pod nazivom 'interview conditions.word.exe.' Ako se žrtva navede na pokretanje izvršne datoteke, izvršava se višefazni lanac korisnih podataka, koji na kraju s Telegrama preuzima Enigma zlonamjerni softver za prikupljanje informacija.

Korisni sadržaj prve faze je program za preuzimanje C++ koji koristi različite tehnike za izbjegavanje otkrivanja tijekom preuzimanja i pokretanja korisnih podataka druge faze, 'UpdateTask.dll.' Ova druga faza iskorištavanja koristi tehniku 'Donesite svoj vlastiti ranjivi upravljački program' (BYOVD) za iskorištavanje ranjivosti CVE-2015-2291 Intel, koja omogućuje izvršavanje naredbi s privilegijama jezgre. To zatim koriste akteri prijetnji da onesposobe Microsoft Defender prije nego zlonamjerni softver preuzme treći korisni teret.

Prijeteće sposobnosti kradljivca enigme

Treći teret koji su prijetnje postavili je Enigma Stealer. Dizajniran je za ciljanje informacija o sustavu, tokena i lozinki pohranjenih u web preglednicima, kao što su Google Chrome, Microsoft Edge, Opera i drugi. Nadalje, također može snimiti snimke zaslona iz ugroženog sustava, izdvojiti sadržaj međuspremnika i VPN konfiguracije.

Enigma Stealer također može ciljati podatke pohranjene u Microsoft Outlooku, Telegramu, Signalu, OpenVPN-u i drugim aplikacijama. Sve prikupljene informacije sažimaju se u ZIP arhivu ('Data.zip'), koja se šalje natrag akterima prijetnje putem Telegrama. Za daljnje prikrivanje vlastitih podataka i sprječavanje neovlaštenog pristupa ili petljanja, neki od Enigminih nizova, kao što su staze web preglednika i URL-ovi usluga Geolocation API, šifrirani su u načinu Cipher Block Chaining (CBC) s algoritmom Advanced Encryption Standard (AES).