Threat Database Malware EnigmaSpark

EnigmaSpark

Por GoldSparrow em Malware

A ameaça EnigmaSpark é um malware originário do Oriente Médio. Parece que seus criadores estão visando indivíduos e entidades que demonstraram apoio ou pelo menos interesse no potencial plano de paz entre a Palestina e Israel. Os atacantes parecem se opor ao plano de paz proposto e tentaram promover sua causa lançando a campanha EnigmaSpark. Depois de analisar a ameaça EnigmaSpark e as circunstâncias que cercaram a campanha, os especialistas em segurança cibernética chegaram à conclusão de que o grupo de hackers Molerats provavelmente é responsável pelo ataque. O grupo Molerats opera no Oriente Médio e atua há vários anos. Eles tendem a realizar ataques de motivação política em relação a eventos e políticas referentes ao Oriente Médio.

Propaga-se por E-Mails de Phishing

O malware EnigmaSpark é baseado no aplicativo legítimo Enigma Protector. No entanto, os criadores do malware EnigmaSpark alteraram a ferramenta genuína e a armaram para atender às suas necessidades. O malware EnigmaSpark está sendo propagado por e-mails de phishing cuidadosamente criados. Os e-mails em questão conteriam uma mensagem falsa cujo objetivo é convencer os destinatários a iniciar o arquivo anexado. À primeira vista, o anexo parece ser um arquivo do Microsoft Word chamado 'a.docx'. A nota está em árabe, mas exibe um botão em inglês, que incentiva os usuários a 'ativar a edição'. Abrir o arquivo de documento corrompido baixaria um modelo para o Microsoft Word.

Comprometendo o Alvo

A ameaça estabeleceria uma conexão com o servidor C&C (Comando e Controle) dos invasores. O malware EnigmaSpark coletará dados sobre o sistema comprometido, criptografará e depois os transferirá para o servidor C&C de seus operadores. A próxima carga útil é implantada com a ajuda de um conta-gotas AutoIT que é inicializado por meio do script de macro mal-intencionado. Após a execução, o script AutoIT descarta a carga C:\users%USERNAME% sob o nome 'runawy.exe'. Ele ganha persistência ao realizar duas etapas simples: Uma cópia da carga útil é descartada na pasta 'Inicialização' do Windows.
Uma nova tarefa agendada é criada que comanda o Windows para executar o arquivo 'runawy.exe' mencionado sempre que o Windows é inicializado.

Coleta Informações do Sistema

O EnigmaSpark usaria a carga útil 'Blaster.exe' para obter informações sobre o dispositivo comprometido. O EnigmaSpark é capaz de descobrir se existe um aplicativo anti-malware em execução no sistema infectado. A ameaça também pode coletar dados sobre qualquer software de firewall que possa estar presente no PC. Além disso, os invasores podem obter informações sobre o processador do computador comprometido, bem como o host e o nome de usuário do destino. O malware EnigmaSpark entraria nas configurações de teclado do usuário para garantir que o idioma padrão definido seja o árabe. Se o idioma padrão do sistema não for o árabe, o malware EnigmaSpark interromperá a operação. Todos os dados coletados são criptografados com a ajuda do algoritmo de criptografia AES. Os invasores também codificam os dados usando o Base64. Depois de concluir essas tarefas, a ameaça transferirá os dados para o servidor C&C dos atacantes. O arquivo 'Blaster.exe' também pode receber comandos criptografados dos C&C de seus operadores. Após descriptografar os comandos, o arquivo 'Blaster.exe' os executará.

A operação EnigmaSpark é uma campanha longa e complexa que inclui várias cargas úteis. Para resumir, no final do ataque, é provável que o sistema comprometido tenha até três cargas úteis em execução:
'runawy.exe' - tem a capacidade de executar comandos remotos e depois transferir a saída para um host remoto.
'Blaster.exe' - possui as mesmas habilidades que 'runawy.exe', mas também faz um esforço para reunir informações de hardware e software sobre o host infectado (antivírus, versão do SO, configuração do Windows, fabricante e modelo do processador e muito mais). ' REG.exe '- um downloader que pode ser usado para buscar cargas úteis adicionais. No momento em que este relatório foi publicado, o download 'REG.exe' foi observado para baixar um aplicativo falso 'Soundcloud.exe' que parece compartilhar muitas semelhanças com a carga útil 'Blaster.exe'.

Esta não é uma ameaça que se possa subestimar; o malware EnigmaSpark é capaz de causar muitos problemas a muitos usuários no Oriente Médio. Os usuários precisam ter muito cuidado ao abrir emails de fontes desconhecidas, pois muitos cibercriminosos usam emails de phishing como um vetor de infecção preferido.

Tendendo

Mais visto

Carregando...