EnigmaSpark
A ameaça EnigmaSpark é um malware originário do Oriente Médio. Parece que seus criadores estão visando indivíduos e entidades que demonstraram apoio ou pelo menos interesse no potencial plano de paz entre a Palestina e Israel. Os atacantes parecem se opor ao plano de paz proposto e tentaram promover sua causa lançando a campanha EnigmaSpark. Depois de analisar a ameaça EnigmaSpark e as circunstâncias que cercaram a campanha, os especialistas em segurança cibernética chegaram à conclusão de que o grupo de hackers Molerats provavelmente é responsável pelo ataque. O grupo Molerats opera no Oriente Médio e atua há vários anos. Eles tendem a realizar ataques de motivação política em relação a eventos e políticas referentes ao Oriente Médio.
Índice
Propaga-se por E-Mails de Phishing
O malware EnigmaSpark é baseado no aplicativo legítimo Enigma Protector. No entanto, os criadores do malware EnigmaSpark alteraram a ferramenta genuína e a armaram para atender às suas necessidades. O malware EnigmaSpark está sendo propagado por e-mails de phishing cuidadosamente criados. Os e-mails em questão conteriam uma mensagem falsa cujo objetivo é convencer os destinatários a iniciar o arquivo anexado. À primeira vista, o anexo parece ser um arquivo do Microsoft Word chamado 'a.docx'. A nota está em árabe, mas exibe um botão em inglês, que incentiva os usuários a 'ativar a edição'. Abrir o arquivo de documento corrompido baixaria um modelo para o Microsoft Word.
Comprometendo o Alvo
A ameaça estabeleceria uma conexão com o servidor C&C (Comando e Controle) dos invasores. O malware EnigmaSpark coletará dados sobre o sistema comprometido, criptografará e depois os transferirá para o servidor C&C de seus operadores. A próxima carga útil é implantada com a ajuda de um conta-gotas AutoIT que é inicializado por meio do script de macro mal-intencionado. Após a execução, o script AutoIT descarta a carga C:\users%USERNAME% sob o nome 'runawy.exe'. Ele ganha persistência ao realizar duas etapas simples: Uma cópia da carga útil é descartada na pasta 'Inicialização' do Windows.
Uma nova tarefa agendada é criada que comanda o Windows para executar o arquivo 'runawy.exe' mencionado sempre que o Windows é inicializado.
Coleta Informações do Sistema
O EnigmaSpark usaria a carga útil 'Blaster.exe' para obter informações sobre o dispositivo comprometido. O EnigmaSpark é capaz de descobrir se existe um aplicativo anti-malware em execução no sistema infectado. A ameaça também pode coletar dados sobre qualquer software de firewall que possa estar presente no PC. Além disso, os invasores podem obter informações sobre o processador do computador comprometido, bem como o host e o nome de usuário do destino. O malware EnigmaSpark entraria nas configurações de teclado do usuário para garantir que o idioma padrão definido seja o árabe. Se o idioma padrão do sistema não for o árabe, o malware EnigmaSpark interromperá a operação. Todos os dados coletados são criptografados com a ajuda do algoritmo de criptografia AES. Os invasores também codificam os dados usando o Base64. Depois de concluir essas tarefas, a ameaça transferirá os dados para o servidor C&C dos atacantes. O arquivo 'Blaster.exe' também pode receber comandos criptografados dos C&C de seus operadores. Após descriptografar os comandos, o arquivo 'Blaster.exe' os executará.
A operação EnigmaSpark é uma campanha longa e complexa que inclui várias cargas úteis. Para resumir, no final do ataque, é provável que o sistema comprometido tenha até três cargas úteis em execução:
'runawy.exe' - tem a capacidade de executar comandos remotos e depois transferir a saída para um host remoto.
'Blaster.exe' - possui as mesmas habilidades que 'runawy.exe', mas também faz um esforço para reunir informações de hardware e software sobre o host infectado (antivírus, versão do SO, configuração do Windows, fabricante e modelo do processador e muito mais). ' REG.exe '- um downloader que pode ser usado para buscar cargas úteis adicionais. No momento em que este relatório foi publicado, o download 'REG.exe' foi observado para baixar um aplicativo falso 'Soundcloud.exe' que parece compartilhar muitas semelhanças com a carga útil 'Blaster.exe'.
Esta não é uma ameaça que se possa subestimar; o malware EnigmaSpark é capaz de causar muitos problemas a muitos usuários no Oriente Médio. Os usuários precisam ter muito cuidado ao abrir emails de fontes desconhecidas, pois muitos cibercriminosos usam emails de phishing como um vetor de infecção preferido.