Furtul de Enigma

Actorii ruși ai amenințărilor au conceput o campanie care vizează est-europenii care lucrează în industria criptomonedei. Folosind oferte de locuri de muncă false, ei urmăresc să-și infecteze victimele cu un malware necunoscut anterior, urmărit ca Enigma Stealer. Operațiunea de amenințare se bazează pe un set complex de încărcătoare puternic obstrucționate care exploatează o vulnerabilitate a unui driver Intel vechi. Această tehnică este utilizată pentru a reduce integritatea token-ului Microsoft Defender și, în consecință, pentru a ocoli măsurile de securitate ale acestuia.

Toate aceste tactici sunt folosite pentru a obține acces la date confidențiale și pentru a compromite mașinile victimelor. Detalii despre Enigma Stealer și infrastructura campaniei de atac au fost dezvăluite într-un raport al cercetătorilor de securitate. Conform constatărilor lor, Enigma este o versiune modificată a programului malware open-source Stealerium .

Lanțul complex de infecții al lui Enigma Stealer

Actorii amenințărilor din spatele Furtorului Enigma folosesc un e-mail prost pentru a-și ataca victimele. E-mailurile care pretind că oferă oportunități de angajare includ o arhivă RAR atașată care conține un fișier .TXT cu întrebări de interviu scrise în chirilic, precum și un executabil numit „interview conditions.word.exe”. Dacă victima este indusă să lanseze executabilul, este executat un lanț de încărcări utile în mai multe etape, care în cele din urmă descarcă malware-ul Enigma de colectare a informațiilor de la Telegram.

Încărcarea utilă din prima etapă este un program de descărcare C++ care utilizează diverse tehnici pentru a evita detectarea în timp ce descarcă și lansează încărcarea utilă din a doua etapă, „UpdateTask.dll”. Acest exploit din a doua etapă folosește tehnica „Bring Your own Vulnerable Driver” (BYOVD) pentru a exploata vulnerabilitatea Intel CVE-2015-2291, care permite executarea comenzilor cu privilegii Kernel. Acesta este apoi folosit de actorii amenințărilor pentru a dezactiva Microsoft Defender înainte ca malware-ul să descarce a treia sarcină utilă.

Capabilitățile de amenințare ale furatorului Enigma

A treia sarcină utilă desfășurată de actorii amenințărilor este Enigma Stealer. Este conceput pentru a viza informațiile de sistem, jetoanele și parolele stocate în browsere web, cum ar fi Google Chrome, Microsoft Edge, Opera și multe altele. În plus, poate captura capturi de ecran din sistemul compromis, extrage conținut clipboard și configurații VPN.

De asemenea, Enigma Stealer este capabil să vizeze datele stocate în Microsoft Outlook, Telegram, Signal, OpenVPN și alte aplicații. Toate informațiile colectate sunt comprimate într-o arhivă ZIP („Data.zip”), care este trimisă înapoi actorilor amenințărilor prin Telegram. Pentru a-și ascunde și mai mult propriile date și pentru a preveni accesul sau manipularea neautorizată, unele dintre șirurile Enigma, cum ar fi căile browserului web și adresele URL ale serviciilor API de geolocație, sunt criptate în modul Cipher Block Chaining (CBC) cu algoritmul Advanced Encryption Standard (AES).