Enigma steler

Russische dreigingsactoren hebben een campagne bedacht die zich richt op Oost-Europeanen die in de cryptocurrency-industrie werken. Door valse vacatures te gebruiken, proberen ze hun slachtoffers te infecteren met voorheen onbekende malware die wordt gevolgd als Enigma Stealer. De bedreigende operatie is gebaseerd op een ingewikkelde reeks zwaar versluierde laders die misbruik maken van een kwetsbaarheid in een oude Intel-driver. Deze techniek wordt gebruikt om de tokenintegriteit van Microsoft Defender te verminderen en bijgevolg de beveiligingsmaatregelen te omzeilen.

Al deze tactieken worden gebruikt om toegang te krijgen tot vertrouwelijke gegevens en de machines van slachtoffers in gevaar te brengen. Details over de Enigma Stealer en de infrastructuur van de aanvalscampagne werden onthuld in een rapport van beveiligingsonderzoekers. Volgens hun bevindingen is Enigma een aangepaste versie van de open-source malware Stealerium .

Enigma Stealer's complexe infectieketen

De dreigingsactoren achter de Enigma Stealer gebruiken een kwaadwillende e-mail om hun slachtoffers aan te vallen. De e-mails die doen alsof ze vacatures aanbieden, bevatten een bijgevoegd RAR-archief met een .TXT-bestand met interviewvragen geschreven in het Cyrillisch, evenals een uitvoerbaar bestand met de naam 'interview conditions.word.exe'. Als het slachtoffer ertoe wordt aangezet het uitvoerbare bestand te starten, wordt een meertrapsketen van payloads uitgevoerd, die uiteindelijk de Enigma-malware voor het verzamelen van informatie van Telegram downloadt.

De payload van de eerste fase is een C++-downloader die verschillende technieken gebruikt om detectie te omzeilen tijdens het downloaden en starten van de payload van de tweede fase, 'UpdateTask.dll'. Deze exploit in de tweede fase maakt gebruik van de 'Bring Your own Vulnerable Driver'-techniek (BYOVD) om misbruik te maken van de CVE-2015-2291 Intel-kwetsbaarheid, waardoor opdrachten kunnen worden uitgevoerd met kernelrechten. Dit wordt vervolgens door de bedreigingsactoren gebruikt om Microsoft Defender uit te schakelen voordat de malware de derde payload downloadt.

De bedreigende mogelijkheden van Enigma Stealer

De derde payload die door de bedreigingsactoren wordt ingezet, is de Enigma Stealer. Het is ontworpen om systeeminformatie, tokens en wachtwoorden te targeten die zijn opgeslagen in webbrowsers, zoals Google Chrome, Microsoft Edge, Opera en meer. Bovendien kan het ook screenshots van het gecompromitteerde systeem vastleggen, klembordinhoud en VPN-configuraties extraheren.

De Enigma Stealer kan zich ook richten op gegevens die zijn opgeslagen in Microsoft Outlook, Telegram, Signal, OpenVPN en andere applicaties. Alle verzamelde informatie wordt gecomprimeerd in een ZIP-archief ('Data.zip'), dat via Telegram wordt teruggestuurd naar de aanvallers. Om zijn eigen gegevens verder te verbergen en ongeoorloofde toegang of sabotage te voorkomen, worden sommige strings van Enigma, zoals webbrowserpaden en Geolocation API-services-URL's, gecodeerd in Cipher Block Chaining (CBC) -modus met het Advanced Encryption Standard (AES) -algoritme.