Ladro di enigmi

Gli attori delle minacce russe hanno ideato una campagna che prende di mira gli europei dell'est che lavorano nel settore delle criptovalute. Utilizzando false offerte di lavoro, mirano a infettare le loro vittime con un malware precedentemente sconosciuto rintracciato come Enigma Stealer. L'operazione minacciosa si basa su un intricato insieme di caricatori fortemente offuscati che sfruttano una vulnerabilità in un vecchio driver Intel. Questa tecnica viene utilizzata per ridurre l'integrità del token di Microsoft Defender e di conseguenza aggirare le sue misure di sicurezza.

Tutte queste tattiche vengono utilizzate per ottenere l'accesso a dati riservati e compromettere le macchine delle vittime. I dettagli sull'Enigma Stealer e l'infrastruttura della campagna di attacco sono stati rivelati in un rapporto dei ricercatori di sicurezza. Secondo le loro scoperte, Enigma è una versione modificata del malware open source Stealerium .

La complessa catena di infezioni di Enigma Stealer

Gli attori delle minacce dietro l'Enigma Stealer stanno usando un'e-mail sconsiderata per attaccare le loro vittime. Le e-mail che fingono di offrire opportunità di lavoro includono un archivio RAR allegato contenente un file .TXT con le domande del colloquio scritte in cirillico, oltre a un eseguibile chiamato "condizioni del colloquio.word.exe". Se la vittima viene indotta ad avviare l'eseguibile, viene eseguita una catena di payload in più fasi, che alla fine scarica il malware di raccolta di informazioni Enigma da Telegram.

Il payload di prima fase è un downloader C++ che utilizza varie tecniche per eludere il rilevamento durante il download e l'avvio del payload di seconda fase, "UpdateTask.dll". Questo exploit di seconda fase sfrutta la tecnica "Bring Your own Vulnerable Driver" (BYOVD) per sfruttare la vulnerabilità Intel CVE-2015-2291, che consente l'esecuzione di comandi con i privilegi del kernel. Questo viene quindi utilizzato dagli attori delle minacce per disabilitare Microsoft Defender prima che il malware scarichi il terzo payload.

Capacità minacciose di Enigma Stealer

Il terzo carico utile distribuito dagli attori delle minacce è l'Enigma Stealer. È progettato per indirizzare le informazioni di sistema, i token e le password archiviate nei browser Web, come Google Chrome, Microsoft Edge, Opera e altri. Inoltre, può anche acquisire schermate dal sistema compromesso, estrarre il contenuto degli appunti e le configurazioni VPN.

Enigma Stealer è anche in grado di prendere di mira i dati archiviati in Microsoft Outlook, Telegram, Signal, OpenVPN e altre applicazioni. Tutte le informazioni raccolte vengono compresse in un archivio ZIP ("Data.zip"), che viene rispedito agli autori delle minacce tramite Telegram. Per nascondere ulteriormente i propri dati e prevenire accessi non autorizzati o manomissioni, alcune delle stringhe di Enigma, come i percorsi del browser Web e gli URL dei servizi API di geolocalizzazione, sono crittografate in modalità Cipher Block Chaining (CBC) con l'algoritmo Advanced Encryption Standard (AES).