एनिग्मा चोर
रूसी खतरा अभिनेताहरूले क्रिप्टोकरेन्सी उद्योगमा काम गर्ने पूर्वी युरोपेलीहरूलाई लक्षित गर्ने अभियान बनाएका छन्। नक्कली जागिर प्रस्तावहरू प्रयोग गरेर, तिनीहरूले आफ्ना पीडितहरूलाई एनिग्मा स्टिलरको रूपमा ट्र्याक गरिएको पहिलेको अज्ञात मालवेयरबाट संक्रमित गर्ने लक्ष्य राख्छन्। धम्की दिने अपरेसनले पुरानो इंटेल ड्राइभरमा भएको कमजोरीको शोषण गर्ने भारी अस्पष्ट लोडरहरूको जटिल सेटमा निर्भर गर्दछ। यो प्रविधि माइक्रोसफ्ट डिफेन्डरको टोकन अखण्डता कम गर्न र फलस्वरूप यसको सुरक्षा उपायहरू बाइपास गर्न प्रयोग गरिन्छ।
यी सबै रणनीतिहरू गोप्य डाटामा पहुँच प्राप्त गर्न र पीडितहरूको मेसिनहरूमा सम्झौता गर्न प्रयोग गरिन्छ। एनिग्मा स्टिलर र आक्रमण अभियानको पूर्वाधार बारे विवरणहरू सुरक्षा अनुसन्धानकर्ताहरूले एउटा रिपोर्टमा प्रकट गरेका थिए। तिनीहरूको निष्कर्ष अनुसार, Enigma खुला स्रोत मालवेयर Stealerium को परिमार्जित संस्करण हो।
एनिग्मा स्टिलरको जटिल संक्रमण चेन
एनिग्मा स्टिलरको पछाडि धम्की दिने कलाकारहरूले आफ्ना पीडितहरूलाई आक्रमण गर्नको लागि खराब दिमागको इमेल प्रयोग गर्दैछन्। रोजगारीका अवसरहरू प्रस्ताव गर्ने बहाना गर्ने इमेलहरूमा सिरिलिकमा लेखिएको अन्तर्वार्ता प्रश्नहरू सहितको .TXT फाइल समावेश गरिएको संलग्न RAR अभिलेख, साथै 'interview condition.word.exe' नामक कार्यान्वयनयोग्य समावेश छ। यदि पीडितलाई कार्यान्वयनयोग्य सुरुवात गर्न प्रेरित गरियो भने, पेलोडहरूको बहु-चरण श्रृंखला कार्यान्वयन गरिन्छ, जसले अन्ततः टेलिग्रामबाट एनिग्मा जानकारी-संकलन मालवेयर डाउनलोड गर्दछ।
पहिलो चरणको पेलोड C++ डाउनलोडर हो जसले दोस्रो चरणको पेलोड, 'UpdateTask.dll' डाउनलोड र सुरुवात गर्दा पत्ता लगाउनबाट बच्न विभिन्न प्रविधिहरू प्रयोग गर्दछ। यो दोस्रो चरणको शोषणले CVE-2015-2291 Intel कमजोरीको शोषण गर्न 'BYOVD' प्रविधिको प्रयोग गर्छ, जसले आदेशहरूलाई कर्नेल विशेषाधिकारहरूसँग कार्यान्वयन गर्न अनुमति दिन्छ। मालवेयरले तेस्रो पेलोड डाउनलोड गर्नु अघि माइक्रोसफ्ट डिफेन्डरलाई असक्षम पार्न यो खतरा अभिनेताहरूद्वारा प्रयोग गरिन्छ।
एनिग्मा स्टिलरको धम्की दिने क्षमताहरू
खतरा अभिनेताहरू द्वारा तैनात तेस्रो पेलोड एनिग्मा स्टिलर हो। यो Google Chrome, Microsoft Edge, Opera र थप जस्ता वेब ब्राउजरहरूमा भण्डारण गरिएका प्रणाली जानकारी, टोकनहरू र पासवर्डहरूलाई लक्षित गर्न डिजाइन गरिएको हो। यसबाहेक, यसले सम्झौता प्रणालीबाट स्क्रिनसटहरू पनि खिच्न सक्छ, क्लिपबोर्ड सामग्री र VPN कन्फिगरेसनहरू निकाल्न सक्छ।
एनिग्मा स्टिलरले माइक्रोसफ्ट आउटलुक, टेलिग्राम, सिग्नल, ओपनभीपीएन र अन्य अनुप्रयोगहरूमा भण्डारण गरिएका डाटालाई लक्षित गर्न पनि सक्षम छ। सबै संकलित जानकारी जिप अभिलेख ('Data.zip') मा कम्प्रेस गरिएको छ, जुन टेलिग्राम मार्फत खतरा अभिनेताहरूलाई फिर्ता पठाइन्छ। यसको आफ्नै डाटा थप लुकाउन र अनाधिकृत पहुँच वा छेडछाड रोक्नको लागि, Enigma का केही स्ट्रिङहरू, जस्तै वेब ब्राउजर पथहरू र जियोलोकेशन एपीआई सेवाहरू यूआरएलहरू, उन्नत ईन्क्रिप्शन मानक (AES) एल्गोरिथ्मको साथ साइफर ब्लक चेनिङ (CBC) मोडमा इन्क्रिप्ट गरिएका छन्।
