Похититель загадок

Российские злоумышленники разработали кампанию, нацеленную на восточноевропейцев, работающих в индустрии криптовалют. Используя поддельные предложения о работе, они стремятся заразить своих жертв ранее неизвестным вредоносным ПО, отслеживаемым как Enigma Stealer. Угрожающая операция основана на сложном наборе сильно запутанных загрузчиков, которые используют уязвимость в старом драйвере Intel. Этот метод используется для снижения целостности маркеров Microsoft Defender и, следовательно, для обхода его мер безопасности.

Все эти тактики используются для получения доступа к конфиденциальным данным и компрометации компьютеров жертв. Подробности о Enigma Stealer и инфраструктуре кампании атаки были раскрыты в отчете исследователей безопасности. Согласно их выводам, Enigma представляет собой модифицированную версию вредоносного ПО Stealerium с открытым исходным кодом.

Сложная цепочка заражения Enigma Stealer

Злоумышленники, стоящие за Enigma Stealer, используют злонамеренную электронную почту для атаки на своих жертв. Электронные письма, якобы предлагающие вакансии, включают прикрепленный архив RAR, содержащий файл .TXT с вопросами для интервью, написанными кириллицей, а также исполняемый файл под названием «interviewconditions.word.exe». Если жертва побуждается запустить исполняемый файл, выполняется многоступенчатая цепочка полезных нагрузок, которая в конечном итоге загружает из Telegram вредоносное ПО для сбора информации Enigma.

Полезная нагрузка первого этапа представляет собой загрузчик C++, который использует различные методы, чтобы избежать обнаружения при загрузке и запуске полезной нагрузки второго уровня, «UpdateTask.dll». Этот эксплойт второго этапа использует метод «Принеси свой собственный уязвимый драйвер» (BYOVD) для использования уязвимости Intel CVE-2015-2291, которая позволяет выполнять команды с привилегиями ядра. Затем злоумышленники используют его для отключения Microsoft Defender до того, как вредоносное ПО загрузит третью полезную нагрузку.

Угрожающие способности Enigma Stealer

Третьей полезной нагрузкой, развернутой злоумышленниками, является Enigma Stealer. Он предназначен для нацеливания на системную информацию, токены и пароли, хранящиеся в веб-браузерах, таких как Google Chrome, Microsoft Edge, Opera и других. Кроме того, он также может делать снимки экрана из скомпрометированной системы, извлекать содержимое буфера обмена и конфигурации VPN.

Enigma Stealer также может атаковать данные, хранящиеся в Microsoft Outlook, Telegram, Signal, OpenVPN и других приложениях. Вся собранная информация сжимается в ZIP-архив («Data.zip»), который отправляется злоумышленникам через Telegram. Чтобы еще больше скрыть свои собственные данные и предотвратить несанкционированный доступ или подделку, некоторые строки Enigma, такие как пути веб-браузера и URL-адреса служб API геолокации, шифруются в режиме цепочки блоков шифрования (CBC) с помощью алгоритма Advanced Encryption Standard (AES).