Enigma Stealer

Rusijos grėsmės veikėjai sukūrė kampaniją, skirtą Rytų europiečiams, dirbantiems kriptovaliutų pramonėje. Naudodami netikrus darbo pasiūlymus jie siekia užkrėsti savo aukas anksčiau nežinoma kenkėjiška programa, sekama kaip Enigma Stealer. Grėsminga operacija priklauso nuo sudėtingų labai užmaskuotų kroviklių, kurie išnaudoja senos „Intel“ tvarkyklės pažeidžiamumą, rinkinį. Ši technika naudojama siekiant sumažinti „Microsoft Defender“ prieigos rakto vientisumą ir apeiti jos saugos priemones.

Visos šios taktikos naudojamos norint gauti prieigą prie konfidencialių duomenų ir pakenkti aukų mašinoms. Išsami informacija apie „Enigma Stealer“ ir atakos kampanijos infrastruktūrą buvo atskleista saugumo tyrėjų ataskaitoje. Remiantis jų išvadomis, „Enigma“ yra modifikuota atvirojo kodo kenkėjiškos programos „Stealerium“ versija.

„Enigma Stealer“ kompleksinė infekcijos grandinė

„Enigma Stealer“ grėsmių veikėjai naudoja netinkamą el. laišką, kad užpultų savo aukas. El. laiškuose, kuriuose apsimeta, kad siūlomos darbo galimybės, yra pridėtas RAR archyvas, kuriame yra .TXT failas su kirilica parašytais interviu klausimais, taip pat vykdomasis failas, vadinamas interviu sąlygos.word.exe. Jei auka skatinama paleisti vykdomąjį failą, vykdoma kelių pakopų naudingų krovinių grandinė, kuri galiausiai iš Telegram atsisiunčia informaciją renkančią kenkėjišką programą „Enigma“.

Pirmojo etapo naudingoji apkrova yra C++ atsisiuntimo programa, kuri naudoja įvairius metodus, kad išvengtų aptikimo atsisiunčiant ir paleidžiant antrosios pakopos naudingąją apkrovą „UpdateTask.dll“. Šis antrosios pakopos išnaudojimas panaudoja „Bring Your Your Vulnerable Driver“ (BYOVD) techniką, kad išnaudotų „Intel“ pažeidžiamumą CVE-2015-2291, kuris leidžia vykdyti komandas su branduolio privilegijomis. Tada grėsmės veikėjai tai naudoja norėdami išjungti „Microsoft Defender“, kol kenkėjiška programa atsisiunčia trečią naudingą apkrovą.

„Enigma Stealer“ grėsmingos galimybės

Trečiasis grėsmės veikėjų panaudotas krovinys yra „Enigma Stealer“. Jis skirtas taikyti sistemos informacijai, prieigos raktams ir slaptažodžiams, saugomiems žiniatinklio naršyklėse, pvz., „Google Chrome“, „Microsoft Edge“, „Opera“ ir kt. Be to, jis taip pat gali užfiksuoti pažeistos sistemos ekrano kopijas, išgauti iškarpinės turinį ir VPN konfigūracijas.

„Enigma Stealer“ taip pat gali nukreipti duomenis, saugomus „Microsoft Outlook“, „Telegram“, „Signal“, „OpenVPN“ ir kitose programose. Visa surinkta informacija suglaudinama į ZIP archyvą („Data.zip“), kuris per „Telegram“ siunčiamas grėsmės veikėjams. Siekiant toliau slėpti savo duomenis ir užkirsti kelią neteisėtai prieigai ar klastojimui, kai kurios „Enigma“ eilutės, pvz., žiniatinklio naršyklės keliai ir geografinės vietos nustatymo API paslaugų URL, yra užšifruojamos šifravimo blokų grandinės (CBC) režimu naudojant išplėstinio šifravimo standarto (AES) algoritmą.