Pencuri Enigma

Aktor ancaman Rusia telah merangka kempen yang menyasarkan orang Eropah Timur yang bekerja dalam industri mata wang kripto. Dengan menggunakan tawaran kerja palsu, mereka berhasrat untuk menjangkiti mangsa mereka dengan perisian hasad yang sebelum ini tidak diketahui yang dikesan sebagai Enigma Stealer. Operasi mengancam bergantung pada satu set rumit pemuat yang sangat dikelirukan yang mengeksploitasi kelemahan dalam pemacu Intel lama. Teknik ini digunakan untuk mengurangkan integriti token Microsoft Defender dan seterusnya memintas langkah keselamatannya.

Semua taktik ini digunakan untuk mendapatkan akses kepada data sulit dan menjejaskan mesin mangsa. Butiran mengenai Enigma Stealer dan infrastruktur kempen serangan telah didedahkan dalam laporan oleh penyelidik keselamatan. Menurut penemuan mereka, Enigma ialah versi diubah suai bagi perisian hasad sumber terbuka Stealerium .

Rantaian Jangkitan Kompleks Enigma Stealer

Pelakon ancaman di sebalik Enigma Stealer menggunakan e-mel jahat untuk menyerang mangsa mereka. E-mel yang berpura-pura menawarkan peluang pekerjaan termasuk arkib RAR yang dilampirkan mengandungi fail .TXT dengan soalan temu duga yang ditulis dalam Cyrillic, serta boleh laku yang dipanggil 'syarat temu duga.word.exe.' Jika mangsa didorong untuk melancarkan perisian boleh laku, rantaian muatan berbilang peringkat dilaksanakan, yang akhirnya memuat turun perisian hasad pengumpul maklumat Enigma daripada Telegram.

Muatan peringkat pertama ialah pemuat turun C++ yang menggunakan pelbagai teknik untuk mengelakkan pengesanan semasa memuat turun dan melancarkan muatan peringkat kedua, 'UpdateTask.dll.' Eksploitasi peringkat kedua ini memanfaatkan teknik 'Bawa Pemandu Rentan Anda sendiri' (BYOVD) untuk mengeksploitasi kerentanan Intel CVE-2015-2291, yang membolehkan arahan dilaksanakan dengan keistimewaan Kernel. Ini kemudiannya digunakan oleh pelaku ancaman untuk melumpuhkan Microsoft Defender sebelum perisian hasad memuat turun muatan ketiga.

Keupayaan Mengancam Enigma Stealer

Muatan ketiga yang digunakan oleh pelakon ancaman ialah Enigma Stealer. Ia direka bentuk untuk menyasarkan maklumat sistem, token dan kata laluan yang disimpan dalam penyemak imbas Web, seperti Google Chrome, Microsoft Edge, Opera dan banyak lagi. Tambahan pula, ia juga mungkin menangkap tangkapan skrin daripada sistem yang terjejas, mengekstrak kandungan papan keratan dan konfigurasi VPN.

Enigma Stealer juga mampu menyasarkan data yang disimpan dalam Microsoft Outlook, Telegram, Signal, OpenVPN dan aplikasi lain. Semua maklumat yang dikumpul dimampatkan ke dalam arkib ZIP ('Data.zip'), yang dihantar semula kepada pelaku ancaman melalui Telegram. Untuk terus menyembunyikan datanya sendiri dan menghalang capaian atau gangguan yang tidak dibenarkan, beberapa rentetan Enigma, seperti laluan pelayar web dan URL perkhidmatan API Geolokasi, disulitkan dalam mod Cipher Block Chaining (CBC) dengan algoritma Advanced Encryption Standard (AES).