Enigma Stealer

Os agentes de ameaças russos criaram uma campanha voltada para os europeus orientais que trabalham no setor de criptomoedas. Usando ofertas de emprego falsas, eles pretendem infectar suas vítimas com um malware previamente desconhecido rastreado como Enigma Stealer. A operação ameaçadora depende de um conjunto intrincado de carregadores fortemente ofuscados que exploram uma vulnerabilidade em um driver antigo da Intel. Essa técnica é usada para reduzir a integridade do token do Microsoft Defender e, consequentemente, ignorar suas medidas de segurança.

Todas essas táticas são usadas para obter acesso a dados confidenciais e comprometer as máquinas das vítimas. Detalhes sobre o Enigma Stealer e a infraestrutura da campanha de ataque foram revelados em um relatório de pesquisadores de segurança. De acordo com suas descobertas, o Enigma é uma versão modificada do malware de código aberto Stealerium.

A Complexa Cadeia de Infecção do Enigma Stealer

Os agentes de ameaças por trás do Enigma Stealer estão usando um e-mail mal-intencionado para atacar suas vítimas. Os e-mails que pretendem oferecer oportunidades de emprego incluem um arquivo RAR anexado contendo um arquivo .TXT com perguntas da entrevista escritas em cirílico, bem como um executável chamado 'condições de entrevista.word.exe'. Se a vítima for induzida a iniciar o executável, uma cadeia de vários estágios de cargas é executada, que eventualmente baixa o malware de coleta de informações Enigma do Telegram.

A carga útil de primeiro estágio é um downloader C++ que usa várias técnicas para evitar a detecção durante o download e a inicialização da carga útil de segundo estágio, 'UpdateTask.dll.' Esta exploração de segundo estágio aproveita a técnica 'Traga seu próprio driver vulnerável' (BYOVD) para explorar a vulnerabilidade Intel CVE-2015-2291, que permite que comandos sejam executados com privilégios de Kernel. Isso é usado pelos agentes de ameaças para desabilitar o Microsoft Defender antes que o malware baixe a terceira carga útil.

As Capacidades Ameaçadoras do Enigma Stealer

A terceira carga útil implantada pelos agentes de ameaças é o Enigma Stealer. Ele foi projetado para direcionar informações do sistema, tokens e senhas armazenadas em navegadores da Web, como Google Chrome, Microsoft Edge, Opera e muito mais. Além disso, também pode capturar capturas de tela do sistema comprometido, extrair conteúdo da área de transferência e configurações de VPN.

O Enigma Stealer também é capaz de segmentar dados armazenados no Microsoft Outlook, Telegram, Signal, OpenVPN e outros aplicativos. Todas as informações coletadas são compactadas em um arquivo ZIP ('Data.zip'), que é enviado de volta aos agentes de ameaças via Telegram. Para ocultar ainda mais seus próprios dados e impedir o acesso não autorizado ou adulteração, algumas das strings da Enigma, como caminhos de navegador da Web e URLs de serviços da API de geolocalização, são criptografadas no modo Cipher Block Chaining (CBC) com o algoritmo Advanced Encryption Standard (AES).