Enigma Stealer

Russiske trusselaktører har utviklet en kampanje som retter seg mot østeuropeere som jobber i kryptovalutaindustrien. Ved å bruke falske jobbtilbud har de som mål å infisere ofrene sine med en tidligere ukjent skadelig programvare sporet som Enigma Stealer. Den truende operasjonen er avhengig av et intrikat sett med tungt tilslørte lastere som utnytter en sårbarhet i en gammel Intel-driver. Denne teknikken brukes til å redusere tokenintegriteten til Microsoft Defender og følgelig omgå sikkerhetstiltakene.

Alle disse taktikkene brukes for å få tilgang til konfidensielle data og kompromittere ofrenes maskiner. Detaljer om Enigma Stealer og infrastrukturen til angrepskampanjen ble avslørt i en rapport fra sikkerhetsforskere. I følge funnene deres er Enigma en modifisert versjon av open source-malware Stealerium .

Enigma Stealers komplekse infeksjonskjede

Trusselaktørene bak Enigma Stealer bruker en dårlig e-post for å angripe ofrene sine. E-postene som utgir seg for å tilby jobbmuligheter inkluderer et vedlagt RAR-arkiv som inneholder en .TXT-fil med intervjuspørsmål skrevet på kyrillisk, samt en kjørbar fil kalt "interview conditions.word.exe". Hvis offeret blir indusert til å lansere den kjørbare filen, utføres en flertrinnskjede av nyttelast, som til slutt laster ned Enigma informasjonsinnhentende skadelig programvare fra Telegram.

Nyttelasten i første trinn er en C++-nedlaster som bruker ulike teknikker for å unngå deteksjon mens du laster ned og starter andre trinns nyttelast, 'UpdateTask.dll.' Denne andre fasen utnytter "Bring Your Own Vulnerable Driver"-teknikken (BYOVD) for å utnytte CVE-2015-2291 Intel-sårbarheten, som gjør at kommandoer kan utføres med kjernerettigheter. Dette brukes deretter av trusselaktørene for å deaktivere Microsoft Defender før skadelig programvare laster ned den tredje nyttelasten.

Enigma Stealers truende evner

Den tredje nyttelasten utplassert av trusselaktørene er Enigma Stealer. Den er designet for å målrette mot systeminformasjon, tokens og passord som er lagret i nettlesere, for eksempel Google Chrome, Microsoft Edge, Opera og mer. Videre kan den også ta skjermbilder fra det kompromitterte systemet, trekke ut innhold fra utklippstavlen og VPN-konfigurasjoner.

Enigma Stealer er også i stand til å målrette mot data som er lagret i Microsoft Outlook, Telegram, Signal, OpenVPN og andre applikasjoner. All innsamlet informasjon komprimeres til et ZIP-arkiv ('Data.zip'), som sendes tilbake til trusselaktørene via Telegram. For ytterligere å skjule sine egne data og forhindre uautorisert tilgang eller tukling, er noen av Enigmas strenger, som nettleserbaner og URL-er for Geolocation API-tjenester, kryptert i Cipher Block Chaining (CBC)-modus med Advanced Encryption Standard (AES) algoritmen.