Enigma Stealer

Az orosz fenyegetés szereplői olyan kampányt dolgoztak ki, amely a kriptovaluta-iparban dolgozó kelet-európaiakat célozza meg. Hamis állásajánlatok felhasználásával egy korábban ismeretlen, Enigma Stealer néven nyomon követett kártevővel akarják megfertőzni áldozataikat. A fenyegető művelet az erősen homályos betöltők bonyolult készletére támaszkodik, amelyek kihasználják egy régi Intel-illesztőprogram sebezhetőségét. Ezt a technikát a Microsoft Defender token integritásának csökkentésére, és ennek következtében a biztonsági intézkedések megkerülésére használják.

Mindezeket a taktikákat a bizalmas adatokhoz való hozzáférésre és az áldozatok gépeinek veszélyeztetésére használják. Az Enigma Stealerről és a támadási kampány infrastruktúrájáról részletek derültek ki a biztonsági kutatók jelentéséből. Eredményeik szerint az Enigma a Stealerium nyílt forráskódú rosszindulatú program módosított változata.

Enigma Stealer komplex fertőzési lánca

Az Enigma Stealer mögött álló fenyegetés szereplői rosszindulatú e-mailekkel támadják meg áldozataikat. Az álláslehetőségeket kínáló e-mailek egy csatolt RAR-archívumot tartalmaznak, amely egy .TXT-fájlt tartalmaz cirill betűkkel írt interjúkérdéseket, valamint egy „interview conditions.word.exe” nevű végrehajtható fájlt. Ha az áldozatot rábírják a végrehajtható fájl elindítására, többlépcsős rakományláncot hajtanak végre, amely végül letölti az Enigma információgyűjtő kártevőt a Telegramból.

Az első szintű hasznos adat egy C++ letöltő, amely különféle technikákat használ az észlelés elkerülésére, miközben letölti és elindítja a második fokozatú „UpdateTask.dll” fájlt. Ez a második fokozatú kizsákmányolás a „Bring Your Vulnerable Driver” (BYOVD) technikát használja fel a CVE-2015-2291 Intel sebezhetőség kihasználására, amely lehetővé teszi a parancsok kerneljogosultságokkal történő végrehajtását. Ezt használják a fenyegetés szereplői a Microsoft Defender letiltására, mielőtt a rosszindulatú program letölti a harmadik hasznos terhet.

Az Enigma Stealer fenyegető képességei

A fenyegetés szereplői által bevetett harmadik rakomány az Enigma Stealer. Úgy tervezték, hogy megcélozza a webböngészőkben tárolt rendszerinformációkat, tokenekeket és jelszavakat, például a Google Chrome-ban, a Microsoft Edge-ben, az Opera-ban és egyebekben. Ezenkívül képernyőképeket is rögzíthet a feltört rendszerről, kivonhatja a vágólap tartalmát és a VPN-konfigurációkat.

Az Enigma Stealer képes a Microsoft Outlook, Telegram, Signal, OpenVPN és más alkalmazásokban tárolt adatok megcélzására is. Az összes összegyűjtött információt egy ZIP archívumba tömörítik ("Data.zip"), amelyet a táviraton keresztül visszaküldenek a fenyegetés szereplőinek. Saját adatainak további elrejtése és a jogosulatlan hozzáférés vagy manipuláció megakadályozása érdekében az Enigma egyes karakterláncait, például a webböngésző elérési útjait és a földrajzi helymeghatározási API-szolgáltatások URL-címeit, titkosítási blokkláncolás (CBC) módban titkosítja az Advanced Encryption Standard (AES) algoritmussal.