Złodziej Enigmy

Rosyjscy cyberprzestępcy opracowali kampanię, której celem są mieszkańcy Europy Wschodniej pracujący w branży kryptowalut. Wykorzystując fałszywe oferty pracy, mają na celu zainfekowanie swoich ofiar nieznanym wcześniej złośliwym oprogramowaniem śledzonym jako Enigma Stealer. Groźna operacja opiera się na skomplikowanym zestawie mocno zaciemnionych programów ładujących, które wykorzystują lukę w zabezpieczeniach starego sterownika Intela. Ta technika służy do zmniejszenia integralności tokena usługi Microsoft Defender, a w konsekwencji do obejścia jej środków bezpieczeństwa.

Wszystkie te taktyki są wykorzystywane do uzyskiwania dostępu do poufnych danych i włamywania się do maszyn ofiar. Szczegóły dotyczące Enigma Stealer i infrastruktury kampanii ataku zostały ujawnione w raporcie badaczy bezpieczeństwa. Według ich ustaleń Enigma jest zmodyfikowaną wersją otwartego złośliwego oprogramowania Stealerium .

Złożony łańcuch infekcji Enigma Stealer

Aktorzy stojący za Złodziejem Enigma używają złośliwego e-maila do atakowania swoich ofiar. Wiadomości e-mail udające oferty pracy zawierają załączone archiwum RAR zawierające plik .TXT z pytaniami do rozmowy kwalifikacyjnej zapisanymi cyrylicą, a także plik wykonywalny o nazwie „warunki rozmowy kwalifikacyjnej.word.exe”. Jeśli ofiara zostanie nakłoniona do uruchomienia pliku wykonywalnego, wykonywany jest wieloetapowy łańcuch ładunków, który ostatecznie pobiera z Telegrama złośliwe oprogramowanie gromadzące informacje o Enigmie.

Ładunek pierwszego etapu to narzędzie do pobierania C++, które wykorzystuje różne techniki w celu uniknięcia wykrycia podczas pobierania i uruchamiania ładunku drugiego etapu, „UpdateTask.dll”. Exploit drugiego etapu wykorzystuje technikę „Bring Your own Vulnerable Driver” (BYOVD) w celu wykorzystania luki CVE-2015-2291 firmy Intel, która umożliwia wykonywanie poleceń z uprawnieniami jądra. Jest to następnie wykorzystywane przez cyberprzestępców do wyłączenia usługi Microsoft Defender, zanim złośliwe oprogramowanie pobierze trzeci ładunek.

Groźne możliwości Złodzieja Enigmy

Trzecim ładunkiem wykorzystywanym przez cyberprzestępców jest Enigma Stealer. Jest przeznaczony do atakowania informacji systemowych, tokenów i haseł przechowywanych w przeglądarkach internetowych, takich jak Google Chrome, Microsoft Edge, Opera i innych. Ponadto może również przechwytywać zrzuty ekranu z zaatakowanego systemu, wyodrębniać zawartość schowka i konfiguracje VPN.

Enigma Stealer może również atakować dane przechowywane w aplikacjach Microsoft Outlook, Telegram, Signal, OpenVPN i innych. Wszystkie zebrane informacje są kompresowane do archiwum ZIP („Data.zip”), które jest odsyłane z powrotem do aktorów zagrożeń za pośrednictwem Telegramu. Aby dodatkowo ukryć własne dane i zapobiec nieautoryzowanemu dostępowi lub manipulowaniu, niektóre ciągi Enigmy, takie jak ścieżki przeglądarki internetowej i adresy URL usług API geolokalizacji, są szyfrowane w trybie Cipher Block Chaining (CBC) za pomocą algorytmu Advanced Encryption Standard (AES).